« La première chose à faire est de ne pas démanteler tout ce qui a été mis en place sur la base du "Safe Harbor"», selon W. Maxwell

Suite à l'arrêt rendu par la CJUE (Cour de justice de l'UE) (voir notre article), les entreprises peuvent poursuivre leurs transferts de données vers les USA en utilisant d'autres outils, comme les clauses contractuelles types ou les BCR (Binding corporate rules). Qu'impliquent-il ? Comment les mettre en place ? Sont-ils garants de sécurité juridique. L'avocat Winston Maxwell, spécialiste du sujet, répond à nos questions.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

L’arrêt de la CJUE impacte-t-il les entreprises européennes ?

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Les entreprises européennes sont largement impactées, via leurs filiales aux États-Unis, vers lesquelles elles réalisent des transferts de données personnelles. Elles peuvent également avoir recours à des prestataires de services, notamment pour le cloud, labellisés Safe Harbor. L’impact est alors très important en termes d’incertitudes juridiques. Nous sommes saisis dix fois par jour par nos clients qui nous demandent ce qu’ils doivent mettre en place suite à cette décision.

Justement, quels sont les outils que les entreprises peuvent mettre en place pour contourner le Safe Harbor ?

Il n’y a pas de réponse unique. Dans certains cas, il est bon de se tourner vers des modèles de contrat de transfert définis par la Commission européenne, autrement dénommées « clauses contractuelles types ». Au lieu d’utiliser le Safe Harbor, un groupe conclut des accords, contenant ces clauses, entre ses différentes sociétés, telles que ses filiales françaises et américaines. Ces clauses imposent alors à la société américaine, qui reçoit les données, de les traiter avec le même niveau de soin que ce que le droit européen exige. Beaucoup d’entreprises utilisent déjà cet outil alternatif au lieu du Safe Harbor. Mais cette option ne fonctionne pas dans tous les cas. Et l’arrêt de la CJUE laisse penser que même ces contrats pourraient être remis en question. Il demeure donc une légère incertitude à ce niveau-là.

Même les contrats contenant des clauses contractuelles types pourraient être invalidés ?

Une autorité de contrôle allemande, de la région de Schleswig Holstein, a évoqué l’idée que ces contrats seraient, eux aussi, non valides. Le problème de fond, soulevé par la CJUE, est qu’une société américaine peut promettre qu’elle protège les données personnelles, mais elle ne peut garantir qu’il n’y aura pas d’ingérence de la part de la NSA. Si on pousse ce raisonnement à l’extrême, aucune donnée ne serait donc sûre aux États-Unis. La réalité est cependant différente.

L’utilisation d’un second outil alternatif au Safe Harbor, celui des BCR, a été proposé par la Commission. Comment fonctionne-t-il ?

C’est un programme général de conformité qu'un groupe met en place dans toutes ses filiales à travers le monde (aux États-Unis mais aussi en Asie, en Afrique, par exemple). Ainsi, l’ensemble des filiales est censé protéger les données selon le même niveau de soin que celui exigé en Europe, avec toujours cette idée d’appliquer, même en dehors de l’Union Européenne, les standards européens.

Reste une dernière option : celle d’attendre de voir si le gouvernement américain et la Commission européenne se mettent d’accord rapidement sur un nouveau Safe Harbor.

Les entreprises ont-elles la faculté d’attendre ce nouveau Safe Harbor ?

Les transferts de données vers les États-Unis sont réalisés quotidiennement, par milliards de données. Si ces transferts étaient arrêtés cela mettrait à genoux l’économie mondiale. Je pense qu’aucune autorité de contrôle des données personnelles ne souhaite un tel arrêt. Elles doivent donc trouver des solutions pragmatiques. Elles y travaillent et doivent tenter de résoudre le problème qui subsiste : celui de trouver un équilibre entre les politiques de renseignement étatiques et la protection des données personnelles. C’est une difficulté qui existe même en France. La nouvelle loi sur le renseignement est, selon certains, incompatible avec les principes de la CJUE en matière de protection des données personnelles.

Ce que vous voulez dire c’est qu’en France les données personnelles ne sont pas mieux protégées qu’aux États-Unis ?

Exactement, au moins en ce qui concerne les services de renseignement. Je fais partie de la commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique auprès de l’Assemblée nationale. Cette commission numérique a émis un avis très défavorable au sujet de la loi sur le renseignement. Aujourd’hui, ce sont les États-Unis qui sont pointés du doigt. Mais les pays européens ne peuvent pas forcément dire qu’ils sont plus protecteurs que les américains à l'égard de leurs propres services de renseignement.

Ceci prouve une nouvelle fois que la solution à trouver doit être pragmatique car les arguments dogmatiques selon lesquels les pays européens garantiraient en toutes circonstances une meilleure protection des libertés individuelles qu’aux États-Unis ne tiennent plus. La réalité est plus nuancée. Certains groupes américains appliques des normes de protection très élevés, et les sanctions appliquées par les autorités américaines dépassent de loin le niveau des sanctions européennes. Tout n'est donc pas blanc ou noir.

Si une entreprise continue d’utiliser le Safe Harbor, que risque-t-elle ?

Le communiqué de presse du G29 de vendredi dernier (voir notre brève) laisse entendre que les autorités nationales de contrôle ne sanctionneront pas les entreprises dans l’immédiat. Jusqu’à fin janvier 2016, une période de transition est offerte aux entreprises afin qu’elles puissent trouver une solution.

Cette période de transition est-elle suffisante ?

Afin de mettre en place des clauses contractuelles types, il convient d’identifier les transferts opérés entre filiales et ceux réalisés vers des prestataires de services extérieurs. Si une entreprise utilise une solution cloud, le contrat avec l’hébergeur sera ainsi à analyser afin de vérifier s'il convient de mettre en place un contrat de transfert supplémentaire. C’est un travail conséquent mais tout à fait réalisable.

En revanche, la mise en place de BCR requiert 12 mois minimum. Ce n’est pas une solution à court terme. Cet outil prend plus de temps à mettre en place, mais une fois implémenté, il fonctionne très bien.

Que conseillez-vous de réaliser dans l’immédiat ?

La première chose à faire est de ne pas démanteler tout ce qui a été mis en place sur la base du Safe Harbor. Quand une entreprise souscrit aux engagements du Safe Harbor, elle est tenue de mettre en place des programmes d’audit interne et d'autres mesures pour garantir une protection adéquate des données européennes. Ce sont de bons réflexes, qui vont dans le sens du droit européen. Même si le label Safe Harbor n’existe plus, toutes les procédures que l’entreprise a mises en place autour de celui-ci sont à conserver ! Dans un second temps, il faut réaliser une « cartographie » des transferts : quelles sont les données transférées vers les États-Unis ? Par le biais de quels prestataires ou quelles filiales ? Ensuite, il est nécessaire d'analyser, en fonction des données transférées, quelles sont celles qui pourront l’être via des clauses contractuelles types. L'idée étant d'identifier dans un premier temps les données les plus à risque, et de traiter celles-ci en priorité.