Communiqué CNIL du 19 novembre 2015
Compte tenu de la décision de la Cour de Justice de l’Union Européenne (CJUE) du 6 octobre 2015, interdisant de réaliser des transferts sur la base du Safe Harbor, la CNIL informe les entreprises, par un communiqué du 19 novembre 2015, sur les alternatives possibles pour les transferts jusqu’au 31 janvier 2016.
Ce qu’il faut retenir : Compte tenu de la décision de la Cour de Justice de l’Union Européenne (CJUE) du 6 octobre 2015, interdisant de réaliser des transferts sur la base du Safe Harbor, la CNIL informe les entreprises, par un communiqué du 19 novembre 2015, sur les alternatives possibles pour les transferts jusqu’au 31 janvier 2016.
Pour approfondir : La décision de la CJUE du 6 octobre 2015 a fait l’objet d’un récent commentaire de Simon Associés.
Cette décision a invalidé le mécanisme d’adéquation, dit de « Safe Harbor », permettant le transfert de données vers les Etats-Unis.
De ce fait, la CNIL et ses homologues européens (constituant ce qu’il est convenu d’appeler le G29) se sont réunis le 15 octobre 2015 pour élaborer un plan d’action commun permettant aux acteurs de s’adapter à ce tout nouveau contexte juridique. Le G29 a appelé les institutions et les gouvernements européens à construire un nouveau cadre juridique permettant de procéder à des transferts de données entre l’Europe et les Etats-Unis conformément aux exigences de la CJUE, et ce avant le 31 janvier 2016. Ce faisant, par un communiqué du 6 novembre 2015, la Commission européenne a publié des orientations sur les transferts transatlantiques de données et a appelé à définir rapidement un nouveau cadre à la suite de la décision du 6 octobre.
Ainsi que la CNIL le souligne dans son communiqué, jusqu’au 31 janvier 2016, les autres mécanismes juridiques de transfert peuvent être utilisés par les entreprises. Durant cette période, les entreprises peuvent recourir aux Binding Corporate Rules (BCR) et aux Clauses contractuelles types adoptées par la Commission européenne, ainsi que l’on pouvait le pressentir (voir notre article du 2 novembre dernier : Cliquez ICI).
Afin de permettre un traitement rapide par les services de la CNIL, les entreprises peuvent utiliser les normes simplifiées n°46 et n°48 relatives respectivement à la gestion des ressources humaines et à la gestion des clients et prospects, qui autorisent le transfert de données au moyen de ces outils BCR et clauses contractuelles. Dans l’hypothèse où des données sont transférées aux Etats-Unis en dehors du champ de ces deux normes simplifiées, les entreprises doivent indiquer à la CNIL quelles garanties encadrent le transfert, en complétant l’annexe transfert disponible sur le site de la CNIL.
A rapprocher : CJUE, 6 octobre 2015, Aff. C‑362/14
3442 vues 
