Le transfert international de données personnelles sans l’accord Safe Harbor

Le 6 octobre 2015, le Tribunal de Justice de l’Union Européenne (TJUE) a déclaré invalide l’accord Safe Harbor, qui établissait le niveau adéquat de protection pour le transfert international de données aux États-Unis.

On qualifie de transmission internationale de données en Espagne celle qui se réalise vers un territoire situé en dehors de l’Espace Economique Européen (EEE).

Selon la norme en vigueur en Espagne (LOPD), lors de l’utilisation d’un service de cloud computing dans lequel sont stockées des données personnelles, le fournisseur sera considéré comme responsable de leur traitement. Quand le service ne se trouve pas dans l’EEE, son utilisation entrainera la réalisation d’un transfert international de données. Cela arrive par exemple lorsque nous utilisons les serveurs de Google pour gérer les emails de personnes physiques, lorsque nous stockons des fichiers avec des données personnelles sur Dropbox, ou quand nous faisons des campagnes par email en utilisant Mailchimp.

Toute entreprise qui réalise des transferts internationaux de données devra le notifier à l’Agence Espagnole de Protection des Données (AEPD), et si en plus l’importateur de données – le service qui va être utilisé pour gérer les données personnelles – n’offre pas un niveau adéquat de protection, l’entreprise doit obtenir l’obtention de l’autorisation de la Direction de la AEPD.

Communiqué de l’Agence Espagnole de Protection des Données (AEPD)

Devant l’inquiétude générée par la nouvelle intitulée Ultimatum de l’AEPD aux entreprises espagnoles : interdiction d’utiliser Dropbox ou les Google Apps, l’Agence Espagnole de Protection des Données (AEPD) précise :

  • Depuis l’AEPD n’a pas donné d’ultimatum aux entreprises espagnoles
  • L’Agence a annoncé de façon publique le 29 octobre dernier que, dans le cadre d’une intervention conjointe des Autorités européennes de protection des données, elle allait contacter toutes les entreprises qui utilisaient Safe Harbor pour la réalisation de transferts internationaux
  • En aucun cas l’Agence n’a demandé aux responsables qu’ils cessent d’utiliser des services déterminés de stockage de données dans un cloud et ses actions ne sont pas destinées à l’interdiction d’utiliser des outils concrets mais à informer les responsables pour qu’ils exigent de leur fournisseur de service, si cela est nécessaire, qu’il leur propose une réponse adaptée à la sentence du TJUE
  • La décision du TJUE est destinée aux responsables, pas aux citoyens qui font un usage domestique des données personnelles qu’ils pourraient stocker dans un cloud
  • Le cadre temporel défini par les Autorités européennes de protection des données se matérialise, dans le cas de l’Espagne, par le fait que les responsables doivent informer le Registre Général de Protection des Données de la AEPD avant la fin janvier sur la continuité des transferts et sur son adéquation avec la norme de protection des données. À aucun moment l’Agence a annoncé son intention d’initier des procédures de sanction à l’encontre des entreprises
  • L’Agence, avec les Autorités européennes de protection des données, mise sur la recherche de solutions durables pour appliquer la sentence du TJUE afin de trouver une voie qui permette le respect de la décision du Tribunal.

La Commission Européenne a déclaré qu’elle espérait aboutir à un accord avec les États-Unis, celui-ci se nommerait Safe Harbor 2.0.

Que peuvent faire les entreprises espagnoles ?

Dans l’attente d’un accord, il faut rappeler les hypothèses qui légitiment un transfert de données international protégé par l’actuelle norme de protection des données :

  • Quand l’entreprise se trouve dans l’une des exceptions des articles 34 de la Loi Organique de Protection des Données 15/1999 (LOPD) et 66.2 du Règlement 1720/2007 de développement de la LOPD
  • Quand elle a une autorisation du Directeur de l’AEPD
  • Quand elle applique des clauses contractuelles type – préalablement approuvées par la Commission Européenne pour conférer des garanties suffisantes
  • Quand elle a le consentement exprès de chacun des titulaires des données.

Cet article ne relève pas du conseil juridique

TMT

Mariscal & Abogados dispose d'une vaste expérience dans le conseil juridiques aux entreprises du secteur des technologies, des opérateurs de télécommunication et des médias (TV, presse, radio et Internet). Si vous avez une question, n'hésitez pas à Nous contacter.