Les 2 et 3 février dernier, le G29, groupe composé des différentes autorités de contrôle européennes (dont la CNIL en France), a évalué les conséquences de la décision de la Cour de justice ayant invalidé l'accord de Safe Harbor relatif aux transferts de données à caractère personnel depuis l’Union Européenne vers les États-Unis.
Le G29 a salué l’accord dit « EU-U.S. Privacy Shield », conclu entre les États-Unis et la Commission Européenne mais a néanmoins rappelé que cet accord devait être analysé par ses soins d'ici avril prochain afin de déterminer s'il respecte les garanties européennes essentielles identifiées par le G29 depuis l’arrêt du 6 octobre 2015, à savoir:
- « Les traitements doivent reposer sur des règles claires précises et compréhensibles » ;
- « La proportionnalité au regard de la finalité poursuivie doit être démontrée »;
- « Un mécanisme de contrôle indépendant doit exister »; et
- « Une possibilité de recours effectif doit être offerte aux citoyens ».
En attend l'analyse du G29, les BCR (Binding Corporate Rule) comme les clauses contractuelles type de la Commission Européenne restent les seuls outils disponibles pour les entreprises dans le cadre d'un transfert de données à caractère personnel en dehors de l'UE.