Bruxelles, 06/11/2015 (Agence Europe) - Les commissaires européens Andrus Ansip et Vera Jourova, chargés respectivement du Marché unique numérique et de la Justice et des Droits des consommateurs, ont présenté, vendredi 6 novembre, un mois après l'arrêt de la Cour de justice de l'UE sur le cadre Safe Harbour (EUROPE 11404), une série de lignes directrices pour indiquer la marche à suivre aux entreprises européennes et américaines confrontées, notamment les plus petites d'entre elles, à une incertitude juridique.
Ces orientations ont été présentées alors que la commissaire Jourova doit se déplacer la semaine prochaine à Washington pour y rencontrer ses homologues américains du Département du Commerce et poursuivre les négociations sur un nouveau cadre Safe Harbour. La responsable européenne a rappelé à cette occasion, lors d'un point presse, qu'elle exhortait les États-Unis à approuver ce nouveau cadre qui doit, notamment à la lumière de l'arrêt, renforcer la protection des citoyens européens en ce qui concerne l'accès à leurs données par les autorités gouvernementales américaines et renforcer le contrôle judiciaire.
« Il faut plus de surveillance et de sanctions » de la part des États-Unis aussi vis-à-vis des entreprises américaines qui ne respecteraient pas les principes définis, a dit Mme Jourova, qui a jugé toutefois que plusieurs étapes positives avaient été mises en place outre-Atlantique en matière de protection des données personnelles, notamment via le Judicial Redress Act, qui offre certaines possibilités de recours aux Européens devant les tribunaux américains. Si cette loi, en cours d'adoption au Sénat, reste une réponse partielle, « c'est un pas en avant », a jugé la commissaire.
Le nouveau cadre Safe Harbour, que les deux parties jugent urgent de conclure rapidement, continuera de reposer sur le principe de l'autorégulation ('self-certification'), mais devra répondre à des critères plus stricts, exige la Commission. Une révision annuelle de cet outil a notamment été décidée par les deux parties, avait annoncé la commissaire le 26 octobre à Strasbourg. Le commissaire Ansip a, lui, jugé qu'il fallait trouver une solution infaillible qui ne puisse souffrir d'aucune faiblesse. ('bulletproof solution'). Mme Jourova a aussi précisé que les 10 autres décisions d'adéquation actuellement en vigueur avec d'autres pays tiers seraient réétudiées à la lumière de l'arrêt, en particulier en ce qui concerne le rôle des autorités nationales de protection des données, qui se sont vues renforcées par l'arrêt.
Mais sur le timing exact, si les autorités nationales de protection des données des Vingt-huit ont donné trois mois aux deux parties pour se mettre d'accord, la Commission ne s'avance pas, Mme Jourova ayant seulement espéré finaliser le nouveau cadre « le plus vite possible ». Dans sa communication, la Commission se fixe toutefois également cette limite de trois mois pour conclure les discussions.
En ce qui concerne les orientations publiées vendredi, elles visent essentiellement à guider les entreprises dans l'utilisation d'autres moyens alternatifs de transfert de données depuis l'UE vers les États-Unis, des outils que la Commission avait déjà conseillés au lendemain de l'arrêt du 6 octobre. Plusieurs sources de la Commission ont fait valoir que beaucoup d'entreprises, de grande taille notamment, avaient déjà anticipé l'arrêt et opté pour d'autres moyens de transferts, les plus impactées restant toutefois les PME. Ces orientations rappellent notamment que le Safe Harbour de 2000 « ne peut plus servir de base juridique pour les transferts de données à caractère personnel vers les États-Unis » et détaille les autres bases possibles pour ces transferts.
Les entreprises peuvent actuellement poursuivre les transferts de données sur la base des solutions contractuelles, des règles d'entreprise contraignantes applicables aux transferts intragroupe ou sur la base de certaines dérogations, par exemple, « pour la conclusion ou l'exécution d'un contrat, pour la constatation, l'exercice ou la défense d'un droit en justice ou encore lorsque la personne concernée a donné son consentement libre et éclairé », avait déjà expliqué la Commission en octobre dernier. Il reviendra en outre aux contrôleurs des données des entreprises de vérifier scrupuleusement si ces modèles respectent intégralement le droit européen et les dernières orientations livrées par la Cour de justice. (Solenn Paulic)