Les autorités de protection des données des États membres de l'UE, réunies au sein du groupe de travail Article 29, dont l'Agence espagnole de protection des données est membre, viennent de publier une déclaration commune sur les premières conséquences de peuvent être extraites au niveau européen et national suite à la arrêt historique de la Cour de justice de l'Union européenne (CJUE) du 6 octobre 2015 dans l'affaire Maximilian Schrems c. Commissaire à la protection des données (C-362-14).
Dans leur lettre, les autorités de protection des données de l'UE considèrent qu'il est absolument essentiel d'avoir une position solide, collective et commune sur l'application de l'arrêt. D'autre part, le groupe de travail suivra de près l'évolution de la procédure pendante devant la Cour suprême d'Irlande.
Premièrement, le groupe de travail souligne que la question de la surveillance massive et aveugle est un élément clé de l'analyse de la Cour. Le Groupe rappelle qu'il a déclaré à plusieurs reprises que ce contrôle est incompatible avec le cadre juridique de l'UE et que les outils de transfert existants ne sont pas la solution à ce problème. En outre, comme déjà indiqué, les transferts vers des pays tiers dans lesquels les pouvoirs des autorités étatiques d'accéder à l'information dépassent ce qui est nécessaire dans une société démocratique ne seront pas considérés comme des destinations sûres pour les transferts.
À cet égard, la décision de justice exige que toute décision d'adaptation implique une analyse complète des lois nationales du pays destinataire des données, ainsi que de ses engagements.
Le groupe de travail appelle donc les États membres et les institutions européennes à engager des discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant les transferts de données vers le territoire américain dans le respect des droits fondamentaux.
Ces solutions pourraient être trouvées à travers les négociations d'un accord intergouvernemental qui offre plus de garanties à ceux qui s'intéressent à l'UE. Les négociations en cours autour d'un nouveau Safe Harbor pourraient faire partie de la solution. En tout état de cause, ces solutions devraient toujours être accompagnées de mécanismes clairs et contraignants et inclure, au moins, des obligations sur le contrôle nécessaire de l'accès par les autorités publiques, sur la transparence, la proportionnalité, les mécanismes de recours et les droits énoncés dans la législation sur la protection des données.
En attendant, le groupe de travail poursuivra son analyse de l'impact de l'arrêt de la CJCE sur d'autres outils de transfert. Pendant cette période, les autorités de protection des données considèrent que les clauses contractuelles types et les règles d'entreprise contraignantes (BCR) peuvent continuer à être utilisées. Dans tous les cas, cela n'empêchera pas les autorités de protection des données d'enquêter sur des cas particuliers, par exemple sur la base de plaintes, et d'exercer leurs pouvoirs afin de protéger les personnes.
Si, fin janvier 2016, une solution appropriée n'a pas été trouvée avec les autorités américaines, et sur la base de l'évaluation des outils de transfert par le groupe de travail, les autorités de protection des données de l'UE s'engagent à prendre toutes les mesures nécessaires et appropriées, qui peuvent inclure des actions d'application de la loi coordonnées (application de la loi).
En ce qui concerne les conséquences pratiques de l'arrêt de la CJCE, le groupe de travail considère qu'il est clair que les transferts de l'Union européenne vers les États-Unis ne peuvent plus être encadrés dans la décision d'adaptation 2000/520 / CE de la Commission européenne (la appelé Safe Harbor Décision). Dans tous les cas, les transferts qui ont encore lieu dans le cadre de la décision Safe Harbor suite à l'arrêt de la CJCE sont illégaux.
Afin de garantir que tous les acteurs sont suffisamment informés, les autorités de protection des données de l'UE lanceront des campagnes d'information appropriées dans leurs pays respectifs. Cela peut inclure des informations directes sur toutes les entreprises connues pour avoir utilisé la décision Safe Harbor, ainsi que des messages généraux sur les sites Web des autorités.
En conclusion, le groupe de travail insiste sur le partage des responsabilités entre les autorités de protection des données, les institutions de l'UE, les États membres et les entreprises pour trouver des solutions durables pour mettre en œuvre l'arrêt de la Cour. En particulier, et dans le contexte de l'arrêt, les entreprises devraient réfléchir aux risques possibles qu'elles prennent en transférant des données et envisager la mise en œuvre appropriée de toutes les solutions juridiques et techniques pour atténuer ces risques et respecter l'héritage communautaire de la protection des données.
