Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 384

LE SAFE HARBOUR
INVALIDÉ EN SON PRINCIPE
La CJUE a condamné non seulement le Safe Harbour tel qu'il existait à la date où M. Schrems a saisi
l'autorité irlandaise de protection
des données, mais également le
mécanisme même du Safe Harbour.
Il convient tout d'abord de rappeler
les raisons et le contexte de mise en
place du Safe Harbour.
A l'époque où ce mécanisme a
été négocié entre la Commission
européenne et le département
américain du Commerce, les
deux parties étaient conscientes
de l'impossibilité que la législation américaine soit considérée comme assurant un niveau
de protection équivalent à celui
de l'Union européenne. En effet,
les Etats-Unis sont dotés d'une
législation éparse en matière de
protection des données personnelles, différente selon les secteurs
d'activité et les Etats, qui considère
la protection des données personnelles plus comme un aspect du
droit de la consommation que
comme un droit fondamental. Au
vu de cette divergence d'approche,
la décision a été prise de mettre en
place un mécanisme d'auto-certification par lequel les entreprises s'auto-certifieraient auprès
du département du Commerce.
Il convient également de rappeler
que le mécanisme du Safe Harbour
a été mis en place à une époque
où, si les transferts de données
transatlantiques commençaient à
être importants du fait du déploiement de l'Internet, le cloud computing n'en était qu'à ses balbutiements. De plus, le Safe Harbour a
été mis en place avant les attentats
du 11 septembre et l'adoption du
Patriot Act, qui a permis la mise en
place du programme Prism.
La Cour aurait donc pu se borner à
constater que, suite à l'adoption du
Patriot Act permettant aux autorités
publiques américaines d'accéder
de manière généralisée au contenu de communications, sans aucun
droit de recours pour les citoyens

384

européens, la mise en œuvre du
Safe Harbour ne permettait plus
d'assurer que les citoyens européens bénéficient d'une protection équivalente de leurs données
personnelles par les entreprises
américaines adhérant à ce mécanisme. Cependant, la Cour a choisi
d'invalider le mécanisme même du
Safe Harbour, en jugeant que :
« Il y a lieu de relever que la
Commission n'a pas fait état, dans
la décision 2000/520, de ce que les
Etats-Unis d'Amérique 'assurent'
effectivement un niveau de protection adéquat en raison de leur
législation interne ou de leurs
engagements internationaux.
Par suite, et sans qu' il soit besoin
d'examiner les principes de la
sphère de sécurité quant à leur
contenu, il convient de conclure
que l'article 1er de cette décision
méconnaît les exigences fixées
à l'article 25, paragraphe 6, de la
directive 95/46, lu à la lumière de
la Charte, et qu' il est de ce fait
invalide ».
A la lecture de ces paragraphes de
l'arrêt, il semble donc que ce n'est
pas l'application défectueuse du
Safe Harbour, dénoncée à maintes
reprises par les divers rapports sur
le sujet 6, mais bien le mécanisme
lui-même de la sphère de sécurité,
englobant les entreprises déclarant
volontairement respecter certains
principes du droit européen de la
protection des données personnelles, qui est sanctionné. Selon
la CJUE, en application de l'article
25.6 de la directive, la Commission
n'a pas le pouvoir de considérer
que « les principes de la sphère de
sécurité, appliqués conformément
aux questions fréquemment posées
par le ministère du Commerce des
Etats-Unis assurent un caractère
adéquat de protection des données
transférées » mais seulement, le
cas échéant, que la législation
américaine dans son ensemble
assurerait une telle protection.
Ainsi, au vu de cette motivation, il
semble peu probable que le Safe
Harbour puisse être remplacé par

EXPERTISES NOVEMBRE 2015

un nouveau mécanisme similaire,
impliquant simplement des garanties plus fortes. Il semble également
peu probable que les Etats-Unis
adoptent une réglementation assurant une protection des données
personnelles équivalente à celle
de l'Union européenne. Les transferts de données vers les Etats-Unis
devront donc reposer sur les autres
dispositions de la Directive permettant les transferts de données vers
des pays tiers.

QUELLE BASE JURIDIQUE
POUR LES TRANSFERTS
DE DONNÉES VERS LES
ETATS-UNIS ET HORS DE
L'UNION EUROPÉENNE ?
L'article 26 de la directive, transposé en droit français à l'article 69
de la loi Informatique et libertés
prévoit six exceptions à l'interdiction de transfert de données hors
de l'Union européenne, vers des
Etats dont le niveau de protection n'a pas été reconnu comme
équivalent.
Tout d'abord, le consentement de la
personne concernée peut justifier
un transfert de données hors de
l'Union européenne. Cependant,
ce consentement doit être exprès
et surtout libre et éclairé, ce qui
peut s'avérer difficile à mettre en
œuvre. Par exemple, la Cnil considère généralement qu'un salarié, qui est par nature en situation de subordination envers son
employeur, ne peut pas donner
librement un tel consentement.
Le transfert peut aussi être effectué (i) s'il est nécessaire pour la
sauvegarde d'un intérêt public
important ou pour la constatation,
l'exercice ou la défense d'un droit
en justice, (ii) s'il est nécessaire à
la sauvegarde de l'intérêt vital de
la personne concernée ou (iii) s'il
intervient au départ d'un registre
public qui, en vertu de dispositions
législatives ou réglementaires, est
destiné à l'information du public
et est ouvert à la consultation
du public ou de toute personne



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407

Couverture
Sommaire
MAGAZINE - TISA TAFTA TPP MENACES SUR LES DONNÉES PERSONNELLES ?
INTERVIEW - NICOLAS HÉLÈNON ASSUREUR CYBERISQUE
DOCTRINE
JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - MAGAZINE - TISA TAFTA TPP MENACES SUR LES DONNÉES PERSONNELLES ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 370
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 371
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 372
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 373
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 374
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 375
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 376
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - INTERVIEW - NICOLAS HÉLÈNON ASSUREUR CYBERISQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 378
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 379
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 380
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 381
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - DOCTRINE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 383
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 384
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 385
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 386
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 387
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 388
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 389
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 390
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 391
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 392
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 393
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 394
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 395
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 396
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 397
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 398
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 399
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 401
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 402
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 403
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 404
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 405
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 406
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com