Safe Harbor : que doivent faire les entreprises ?

08 février 2016

Depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre, il n’est plus possible de réaliser des transferts sur la base du Safe Harbor. La CNIL informe les entreprises sur les alternatives encore possibles pour les transferts.

La décision de la Cour de Justice de l’Union Européenne du 6 Octobre 2015 a invalidé le mécanisme d’adéquation dit de Safe Habor permettant le transfert de données vers les Etats-Unis. En conséquence, il n’est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.

La CNIL et ses homologues européens (G29) se sont réunis le 15 octobre pour élaborer un plan d’action commun permettant aux acteurs de s’adapter au nouveau contexte juridique. Le G29 a d’abord appelé les institutions et les gouvernements européens à construire un nouveau cadre juridique permettant de procéder à des transferts de données entre l’Europe et les Etats-Unis conformément aux exigences de la Cour de Justice de l’Union Européenne, et ceci, dans un délai de 3 mois.

Les Etats-Unis et la Commission Européenne ont annoncé le 1er février la conclusion d’un nouvel accord appelé "EU-U.S. Privacy Shield".  Cet accord doit désormais être analysé par le G29 afin d’en connaître précisément le contenu et d’évaluer s’il répond aux préoccupations importantes relatives aux transferts internationaux de données soulevées par la décision de la CJUE. 

Comment continuer les transferts ?

Le G29 considére que les autres mécanismes juridiques de transfert peuvent encore être utilisés par les entreprises.
Par conséquent, les entreprises peuvent recourir aux Binding Corporate Rules (BCR) et aux clauses contractuelles types adoptées par la Commission européenne (clauses de responsable de traitement à responsable de traitement et clauses de responsable de traitement à sous-traitant).

Quelles formalités ?

Afin de permettre un traitement rapide par les services de la CNIL, les entreprises peuvent utiliser les normes simplifiées n°46 et n°48 relatives respectivement à la gestion des ressources humaines et à la gestion des clients et prospects, qui autorisent le transfert de données au moyen de ces outils BCR et clauses contractuelles. Dans l’hypothèse où des données sont transférées aux Etats-Unis en dehors du champ de ces deux normes simplifiées, les entreprises doivent indiquer à la CNIL quelles garanties encadrent le transfert, en complétant l’annexe transfert disponible sur le site.

Consultez les questions réponses sur le Safe Harbor

Les mots clés associés à cet article