Avis du G29 sur le « Privacy Shield »

Le 13 avril 2016, le G29 a publié son avis sur le niveau de protection des données personnelles assuré par le “Privacy Shield”, accord visant à assurer un niveau de protection suffisant aux données transférées de l’Union européenne vers les Etats-Unis. Le groupe de travail a salué les améliorations significatives de cet accord en comparaison avec le Safe Harbor qui avait été annulé. Le G29 a cependant déploré le manque de clarté de l’accord, composé d’une grande variété de documents rendant difficile la recherche d’informations, et a souligné que le mécanisme permettant aux citoyens européens d’exercer des recours concernant l’utilisation de leurs données personnelles était complexe, difficilement accessible, et par conséquent inefficace. Le G29 a également rappelé que le “Privacy Shield” devrait tenir compte du règlement européen sur les données personnelles. Le G29 a en outre émis des réserves quant à l’accès par les autorités publiques aux données transférées dans le cadre de l’accord.

 Pour lire l’avis du G29 (en anglais)

Analyse par le G29 des conséquences de la décision invalidant le Safe Harbor

Dans un communiqué du 3 février 2016, le G29 a salué l’annonce de la conclusion, dans le délai fixé, d’un accord politique entre les Etats-Unis et la Commission Européenne sur le transfert de données personnelles depuis l’Europe vers les Etats-Unis. Le G29 a demandé à la Commission de lui communiquer l’accord avant la fin du mois de février pour l’analyser au regard des 4 garanties essentielles qu’il a identifiées dans la décision de la CJUE invalidant le Safe Harbor. Ainsi, le G29 rappelle que "les traitements doivent reposer sur des règles claires précises et compréhensibles", "la proportionnalité au regard de la finalité poursuivie doit être démontrée", "un mécanisme de contrôle indépendant doit exister" et "une possibilité de recours effectif doit être offerte aux citoyens".

Pour lire le communiqué du G29 (en anglais)

Invalidation du Safe Harbor : recommandations de la CNIL

A la suite de l’invalidation du Safe Harbor, la CNIL a publié le 19 novembre 2015 des recommandations pour les entreprises souhaitant transférer des données entre l’Union européenne et les Etats-Unis. Le G29 ayant appelé les institutions européennes à construire un nouveau cadre juridique permettant de réaliser de tels transferts avant le 31 janvier 2016, la CNIL conseille à ces entreprises, jusqu’à cette date, de recourir aux « Binding Corporate Rules » et aux « Clauses Contractuelles Types » adoptées par la Commission européenne.

Pour lire le communiqué de la CNIL

Avis du G29 suite à l’invalidation du Safe Harbor

A la suite de l’invalidation du Safe Harbor par la CJUE, le G29 s’est réuni le 15 octobre 2015 et a demandé aux gouvernements des Etats membres et aux institutions européennes d’engager des négociations avec les autorités américaines afin de trouver, avant le 31 janvier 2016, des moyens techniques, légaux et politiques permettant un transfert des données personnelles de l’Europe vers les Etats-Unis dans le respect des droits fondamentaux. Le G29 a annoncé poursuivre son analyse des impacts de la décision de la CJUE sur les autres outils de transfert de données personnelles, comme les clauses contractuelles types ou les BCR, et a rappelé qu’en attendant les résultats de cette analyse, ces outils pouvaient être utilisés. Le G29 a également rappelé qu’en tout état de cause, les transferts de données qui seraient encore opérés sur le fondement du Safe Harbor sont illégaux.

Pour lire la déclaration (en anglais) du G29

La CJUE invalide le Safe Harbor

La High Court of Ireland a saisi la CJUE de deux questions préjudicielles afin notamment de savoir si les autorités nationales de contrôle en matière de données personnelles étaient liées par la décision de la Commission européenne du 26 juillet 2000 dite “Safe Harbor” qui autorise le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. Par un arrêt du 6 octobre 2015, la CJUE a invalidé cette décision en relevant notamment que “la Commission n’a pas fait état, dans la décision (…), de ce que les États-Unis d’Amérique “assurent” effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux”. La CNIL a annoncé qu’elle rencontrera prochainement ses homologues au sein du G29 afin de déterminer les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du “Safe Harbor”.

Pour lire l’arrêt de la CJUE