Navigation path

Left navigation

Additional tools

Commission européenne - Communiqué de presse

La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems

Bruxelles, le 6 novembre 2015

L'arrêt rendu ce 6 octobre par la Cour de justice de l'Union européenne dans l'affaire Schrems souligne l'importance du droit fondamental à la protection des données, y compris lorsque des données à caractère personnel sont transférées vers des pays tiers.

Depuis janvier 2014, la Commission européenne travaille, sur la base de 13 recommandations, pour rendre les transferts de données plus sûrs pour les citoyens de l'Union (lien). Depuis l'arrêt rendu par la Cour, elle accélère les négociations avec les États-Unis en vue d'établir un nouveau cadre fiable pour régir les transferts de données à caractère personnel. L'objectif de la Commission est de conclure ces discussions dans les trois prochains mois.

Dans l'intervalle, les entreprises doivent se conformer à l'arrêt de la Cour et recourir à d'autres outils de transfert, si elles en disposent. Donnant suite à l'annonce faite par le vice-président Frans Timmermans et la commissaire européenne Věra Jourová le jour de l'adoption de l'arrêt, la Commission a publié aujourd'hui des orientations  sur les possibilités de transfert transatlantique de données à la suite de l'arrêt de la Cour, applicables jusqu'à la mise en place d'un nouveau cadre. La communication de la Commission analyse les répercussions de l'arrêt et présente d'autres mécanismes possibles pour les transferts de données à caractère personnel vers les États-Unis. La Commission poursuivra également sa collaboration étroite avec les autorités indépendantes chargées de la protection des données, pour veiller à l'application uniforme de l'arrêt de la Cour.

Andrus Ansip, vice-président chargé du marché unique numérique, a déclaré à cet égard: «Nous devons parvenir à un accord avec nos partenaires américains dans les trois prochains mois. La Commission a été invitée à prendre rapidement des mesures: c'est ce qu'elle fait aujourd'hui. Nous publions en effet des orientations claires et nous nous engageons à respecter un calendrier précis pour conclure les négociations en cours. L'Union et les États-Unis constituent l'un pour l'autre le principal partenaire commercial. Les flux de données circulant entre nos continents respectifs sont donc essentiels pour les particuliers et les entreprises. Même s'il existe d'autres outils, un cadre plus fiable est la meilleure solution pour protéger nos citoyens et réduire les charges administratives pesant sur les entreprises, notamment les start-ups.»

La commissaire européenne Věra Jourová a déclaré: «Les citoyens ont besoin de garanties solides pour assurer la protection de leurs droits fondamentaux. Et les entreprises ont besoin de la plus grande clarté pendant la période de transition. Nous entendons leur expliquer aujourd'hui dans quelles conditions elles peuvent transférer des données en toute légalité durant cette période. Nous poursuivrons également notre collaboration étroite avec les autorités nationales de protection des données, qui sont chargées de faire respecter la législation correspondante dans les États membres. J'ai accéléré les pourparlers avec les États-Unis, qui continueront d'ailleurs la semaine prochaine à Washington, en vue de parvenir à un nouveau cadre solide pour les échanges de données transatlantiques. Tout nouvel accord devra satisfaire aux exigences énoncées dans l'arrêt de la Cour.»

Dans sa communication, la Commission insiste sur les points suivants:

-          l'accord sur la sphère de sécurité ne peut plus servir de base juridique pour les transferts de données à caractère personnel vers les États-Unis;

-          la Commission poursuivra et achèvera les négociations visant à la définition d'un nouveau cadre solide pour régir les transferts transatlantiques de données à caractère personnel, qui devra respecter les conditions énoncées dans l'arrêt de la Cour, notamment en ce qui concerne les limitations et les garanties entourant l'accès des autorités publiques américaines à ces données;

-          il conviendra de modifier d'autres décisions constatant le caractère adéquat du niveau de protection des données, pour s'assurer que les autorités nationales de protection des données restent libres d'instruire les plaintes de particuliers.

La communication de la Commission présente d'autres bases possibles pour les transferts de données à caractère personnel vers les États-Unis, sans préjudice de l’indépendance et des pouvoirs dont jouissent les autorités chargées de la protection des données pour examiner le caractère licite de ces transferts. Les entreprises peuvent actuellement poursuivre les transferts de données sur la base des dispositifs suivants:

  • Solutions contractuelles: les règles contractuelles doivent satisfaire à un certain nombre d’obligations, notamment l'adoption de mesures de sécurité, l’information de la personne concernée en cas de transfert de données sensibles, etc. Des modèles de clauses contractuelles types sont disponibles ici.
  • Règles d’entreprise contraignantes applicables aux transferts intragroupe: ces règles permettent aux données à caractère personnel de circuler librement entre les différentes entités d’une entreprise multinationale. Elles doivent être approuvées par l’autorité de protection des données de chaque État membre à partir duquel la multinationale entend transférer des données.
  • Dérogations:  

o   pour la conclusion ou l'exécution d'un contrat [y compris dans des situations de nature précontractuelle; par exemple, pour réserver un vol ou une chambre d'hôtel aux États-Unis, des données à caractère personnel peuvent être transférées];

o   pour la constatation, l'exercice ou la défense d'un droit en justice;

o   lorsque la personne concernée a donné son consentement libre et éclairé, dans le cas où aucun autre motif de dérogation ne peut être invoqué.

Contexte

Le 6 octobre dernier, la Cour de justice a déclaré, dans l’affaire Schrems, que l’accord sur la sphère de sécurité de la Commission n’était pas valide. L’arrêt a ainsi confirmé l’approche adoptée par la Commission depuis novembre 2013 visant une révision de l’accord sur la sphère de sécurité, afin de garantir concrètement un niveau suffisant de protection des données, équivalent à celui exigé par le droit de l’Union.

Le 15 octobre, le vice-président Ansip et les commissaires Oettinger et Jourová ont rencontré des représentants d'entreprises et du secteur privé qui leur ont demandé une interprétation claire et uniforme de l’arrêt, ainsi qu'une plus grande clarté quant aux instruments qu'ils ont le droit d'utiliser pour transmettre des données.

Le 16 octobre, les 28 autorités nationales chargées de la protection des données (réunies au sein du groupe de travail «Article 29») ont publié une déclaration sur les conséquences de l'arrêt.

Pour de plus amples d'informations:

MEMO/15/6014

 

IP/15/6015

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar