Avis du G29 suite à l’invalidation du Safe Harbor

A la suite de l’invalidation du Safe Harbor par la CJUE, le G29 s’est réuni le 15 octobre 2015 et a demandé aux gouvernements des Etats membres et aux institutions européennes d’engager des négociations avec les autorités américaines afin de trouver, avant le 31 janvier 2016, des moyens techniques, légaux et politiques permettant un transfert des données personnelles de l’Europe vers les Etats-Unis dans le respect des droits fondamentaux. Le G29 a annoncé poursuivre son analyse des impacts de la décision de la CJUE sur les autres outils de transfert de données personnelles, comme les clauses contractuelles types ou les BCR, et a rappelé qu’en attendant les résultats de cette analyse, ces outils pouvaient être utilisés. Le G29 a également rappelé qu’en tout état de cause, les transferts de données qui seraient encore opérés sur le fondement du Safe Harbor sont illégaux.

Pour lire la déclaration (en anglais) du G29

La CJUE invalide le Safe Harbor

La High Court of Ireland a saisi la CJUE de deux questions préjudicielles afin notamment de savoir si les autorités nationales de contrôle en matière de données personnelles étaient liées par la décision de la Commission européenne du 26 juillet 2000 dite “Safe Harbor” qui autorise le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. Par un arrêt du 6 octobre 2015, la CJUE a invalidé cette décision en relevant notamment que “la Commission n’a pas fait état, dans la décision (…), de ce que les États-Unis d’Amérique “assurent” effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux”. La CNIL a annoncé qu’elle rencontrera prochainement ses homologues au sein du G29 afin de déterminer les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du “Safe Harbor”.

Pour lire l’arrêt de la CJUE