Soutenons La Quadrature du Net !

Safe Harbor : lettre à la CNIL sur la protection des données personnelles

Paris, le 9 octobre 2015 — La Cour de Justice de l'Union européenne a invalidé le 6 octobre la décision 2000/520/CE autrement appelée accord « Safe Harbor » qui donnait un cadre légal au transfert des données des citoyens de l'Union européenne aux États-Unis et encadrait notamment l'export de données de la plupart des grandes plateformes mondiales. Après cette décision, La Quadrature du Net invite les citoyens à faire valoir leurs droits et à exprimer leurs inquiétudes auprès de la CNIL.

En attendant que la Commission européenne et le département du Commerce américain terminent leurs négociations d'un nouvel accord qui prenne en compte la décision de la CJUE, ces entreprises américaines et européennes sous-traitent des données sans aucune base juridique pourtant nécessaire à tout traitement de données à caractère personnel, ce qui laisse la porte ouverte à des procédures individuelles ou d'association les représentant légalement, mais permet également aux autorités de protection des données nationales de décider d'interdire la poursuite des flux de données si elles estiment que ceux-ci ne sont plus assez sécurisés pour les personnes concernées, comme le précise l'article 28.3 de la directive 95/46/CE ainsi que la loi 78-17 du 6 janvier 1978.

Nous proposons donc aux citoyens d'interpeller la CNIL, qui a été jusqu'à présent extrêmement timide sur la question alors que la CJUE a bien confirmé que les autorités nationales avaient compétence pour défendre leurs citoyens. Il est important de montrer que la poursuite hors cadre juridique du transfert de données personnelles vers les États-Unis n'est pas sans conséquences en matière de libertés fondamentales, car rien n'indique que la NSA a cessé d'accéder à ces données.

Nous publions donc ici la lettre que nous allons envoyer à la CNIL afin de lui demander d'investiguer sur la protection offerte par les GAFA (Google Apple Facebook Amazon), et autres entreprises américaines transférant leurs données aux États-Unis. Nous invitons les citoyens qui le désirent à s'en inspirer s'ils souhaitent, eux aussi, demander ces vérifications à la CNIL en leur nom propre.

Voir l'arrêt Schrems


emblême CNIL

Modèle de lettre

Commission nationale de l’informatique et des libertés (CNIL)
Service des plaintes
8, rue Vivienne
CS 30223
75083 Paris cedex 02

Objet : Réclamation concernant le transfert de mes données aux États-Unis

Madame la Présidente,

Le 6 octobre 2015, la Cour de Justice de l'Union européenne (CJUE) invalidait, dans son arrêt C-362/14 Schrems contre Data Protection Commissioner, la décision 2000/520/CE de la Commission, dite « Safe Harbor » ou « sphère de sécurité » qui permet aux entreprises établies aux États-Unis et en Europe et certifiées « Safe Harbor » de transférer les données personnelles des citoyens européens aux États-Unis pour les conserver et/ou les exploiter.

La CJUE confirme en outre dans le même arrêt le pouvoir de la CNIL en matière d'investigation et de contrôle . La CNIL peut par conséquent examiner en toute indépendance si le transfert des données vers un pays tiers à l'Union européenne respecte les exigences posées par la directive 95/46 CE (pts 61 et 62, C-362/14). Elle peut interdire temporairement ou définitivement un traitement de données, ou encore ester en justice, si le transfert de ces données ne s'effectue pas de façon à garantir un niveau de protection adéquat ( pts 118, 225 C 362/14).

Comme l'a relevé la CJUE, « la nécessité de disposer de telles garanties est d'autant plus importante lorsque les données à caractère personnel sont soumises à un traitement automatique et qu'il existe un risque important d'accès illicite à ces données (arrêt Digital Rights Ireland, C-293/12 et C-594/12) ».

Dans son communiqué du 7 octobre 2015, la CNIL indiquait que suite à la décision de la CJUE, « les autorités de protection des données devront examiner la validité des transferts qui leur sont soumis, en tenant compte du fait que la situation américaine n’est pas "adéquate" ».

Soucieux du traitement dont ont pu faire l'objet mes données à caractère personnel, et résidant actuellement en France, je fais appel à vous pour m'informer et savoir si ces données ont été collectées à mon insu par les services de renseignement américains, car il n'existe aucune voie administrative ou judiciaire pour les personnes concernées pour accéder aux données les concernant. À ce titre il y a atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective.

J'ai utilisé depuis XX/XXXX les services offerts par (entreprise/plateforme) et mes données personnelles sont donc susceptibles d'avoir été transférées aux États-Unis dans le cadre de l'accord du Safe Harbor. Eu égard à l'accès généralisé par les agences de sécurité américaines aux données stockées par de nombreuses plateformes établies aux États-Unis, il apparaît que le transfert vers ce pays de mes données à caractère personnel par (nom de l'entreprise ou de la plateforme) porte atteinte à ma vie privée et aux droits qui me sont reconnus aux termes de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée dite « Informatique et Libertés » (pt 99 C-362/14).

À ce titre, je souhaite vous demander d'investiguer afin de savoir si ... (entreprise/plateforme) a offert une protection suffisante à mes données à caractère personnel, conformément à l'article 68 de la loi Informatique et Libertés.

Cordialement,

NOM, PRENOM
Adresse Postale
EMAIL (selon format de réponse voulu)