Bruxelles, 08/10/2015 (Agence Europe) - Le 'groupe de travail Article 29', qui réunit les autorités nationales de protection des données personnelles des 28 États membres, a accueilli positivement l'arrêt de la Cour de justice de l'UE rendu mardi 6 octobre dans l'affaire Schrems/Safe Harbour (EUROPE 11404) qui confirme que « les droits à la protection des données personnelles font partie intégrante du régime des droits fondamentaux dans l'UE », a réagi le groupe dans un communiqué, mardi soir.
Les autorités nationales de protection des données insistent aussi sur le fait que l'arrêt de la Cour a conclu que leurs pouvoirs n'étaient pas réduits par la décision sur le Safe Harbour. Par conséquent, les autorités nationales ont toujours la possibilité d'enquêter en complète indépendance sur une plainte affirmant qu'un pays tiers n'assure un niveau adéquat de protection des données personnelles transférées, a expliqué le groupe Article 29.
Le groupe rappelle qu'il est préoccupé depuis plusieurs années par l'impact des systèmes de surveillance de masse sur les dispositifs de transferts internationaux de données. L'arrêt du 6 octobre confirme ainsi qu'en présence de systèmes de surveillance de masse et en l'absence de recours juridiques possibles pour les individus, de « sérieuses questions existent concernant la continuité du niveau de données personnelles qui sont transférées aux États-Unis », poursuit le groupe dans son communiqué. Les États-Unis se sont toutefois engagés, dans le cadre des pourparlers sur l'accord-cadre général transatlantique sur la protection des données personnelles, à permettre un droit de recours sur le sol américain pour les citoyens européens, mais le Judicial Redress Act n'a pas encore été adopté par le Congrès.
Une réunion technique était organisée, jeudi 8 octobre à Bruxelles, pour évaluer les premières conséquences de cet arrêt et une autre devrait suivre la semaine prochaine. Le 6 octobre, la Commission a expliqué qu'elle allait publier des lignes directrices sur cet arrêt afin d'aider les firmes impactées à trouver leurs réponses. Le 7 octobre, des experts de la Commission ont confirmé que l'invalidation de la décision de Safe Harbour par la Cour était rétroactive, rendant de fait illégaux tous les transferts de données réalisés vers les États-Unis au titre de l'instrument Safe Harbour sur les 15 dernières années. Ces flux de données ne seraient cependant pas illégaux s'ils ont été mis en oeuvre au titre d'autres instruments, par exemple des clauses spéciales d'entreprises ou sur la base des dérogations prévues par la directive de 1995 sur la protection des données. Les entreprises auront en tout cas à prouver ces instruments de transferts alternatifs respectent bien, eux aussi, les normes européennes en matière de protection des données. Elles devraient aussi rétroactivement en apporter la preuve si des plaintes devaient être déposées contre elles. Facebook, directement concerné par l'affaire, a, lui, fait savoir qu'il continuerait à transférer les données des Européens vers les États-Unis au titre de ces autres instruments alternatifs.
Le groupe ADLE a pour sa part envoyé une lettre à la Commission, jeudi 8 octobre, pour lui demander de tirer rapidement les conséquences de cet arrêt qui crée un vide et appelle à la clarté juridique. (Solenn Paulic)