Bruxelles, 19/10/2015 (Agence Europe) - Le groupe de travail 'Article 29' (G29), qui réunit les autorités nationales de protection des données personnelles des Vingt-Huit, donne trois mois, jusqu'au 31 janvier 2016, aux institutions européennes et aux gouvernements concernés pour trouver des solutions juridiques et techniques aux conséquences de l'arrêt 'Schrems' de la Cour de justice de l'UE sur le cadre 'Safe Harbour' de transfert aux États-Unis des données personnelles de citoyens européens (EUROPE 11404).
En adoptant un avis sur le sujet le 16 octobre, les autorités nationales ont estimé que « la question de la surveillance massive et indiscriminée est au coeur de l'arrêt de la CJUE invalidant la décision 'Safe Harbour' du 26 juillet 2000 ». Le G29 rappelle à ce titre qu'il a toujours considéré qu'« une telle surveillance était incompatible avec le cadre juridique européen et que les outils de transfert ne pouvaient constituer une solution à ce problème », dans un communiqué.
« Par ailleurs, comme le G29 l'a déjà indiqué, les pays tiers dont les autorités publiques accèdent aux informations personnelles ne peuvent être considérés comme des destinations sûres dans le cadre de transferts. À cet égard, la décision de la CJUE implique que chaque décision d'adéquation résulte d'une analyse approfondie des lois nationales du pays tiers ainsi que des accords internationaux », poursuit le G29.
Le groupe demande ainsi aux États membres et aux institutions européennes d'engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux. La négociation actuelle d'un nouvel accord intergouvernemental 'Safe Harbour' pourrait cependant constituer « une partie de la solution », nuance le groupe. Dans tous les cas, ces solutions devront « s'appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l'existence de mécanismes de recours et la protection des droits des personnes », explique encore le G29.
En parallèle, le G29 poursuit son analyse de l'impact de la décision de la CJUE sur les autres outils de transfert (dispositions obligatoires pour les entreprises, clauses contractuelles types) mais considère que, durant cette période, ces outils peuvent encore être utilisés par les entreprises. Les autorités de protection des données se réservent néanmoins la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu'elles pourraient recevoir. Le groupe G29 se réserve, par ailleurs, le droit de préconiser des mesures répressives si ces solutions ne devaient pas être trouvées d'ici à fin janvier. (Solenn Paulic)