Protection des données personnelles : la fin du Safe Harbor

Le 20 juin 2016

Le Safe Harbor est un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l'Union européenne.

Ces principes, négociés entre les autorités américaines et la Commission européenne en 2001, étaient essentiellement basés sur ceux de la Directive 95/46 du 24 octobre 1995. Le Safe Harbor permettait donc d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l'Union européenne vers des entreprises établies aux Etats-Unis.

Par un arrêt rendu le 6 octobre 2015, la CJUE a considéré que le Safe Harbor ne permettait pas de bénéficier d’une protection juridique adéquate et impose désormais aux sociétés américaines, qui souhaitent recevoir des données à caractère personnel en provenance de l'Union européenne, de conclure une convention de gré à gré, sur la base de la convention-type de l’Union Européenne, avec chacun de leurs clients européens.

Les peines maximales en cas d’infraction à cette règle est de 5 ans d’emprisonnement et de 300.000€ d’amende. Le Règlement européen sur les données personnelles du 4 mai 2016, qui sera applicable à partir du mois de mai 2018, renforcera cette amende à un taux maximum de 4% du chiffre d’affaires annuel mondial de l’entreprise américaine contrevenante et, le cas échéant, celui des sociétés de son groupe.

A titre d’exemple, les autorités françaises (CNIL) (parmi les autorités des Etats Membres les plus strictes au sein de l’Union Européenne) viennent de mettre en demeure la société californienne Facebook d’avoir à se conformer à la règlementation française actuelle, certainement en prévision de l’application de cette nouvelle réglementation européenne.

Rémi Turcon
Cyril Fabre