Le mécanisme d’adéquation « Safe Habor » permettant le transfert de données à caractère personnel de l’Union européenne vers les Etats-Unis a été invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne (aff. C-362/14). Enjeux : transférer des données aux Etats-Unis sans le Safe Harbor. Il n’est désormais plus possible de réaliser un tel transfert sur le fondement du Safe Harbor, sauf exception prévue par la loi « informatique et libertés » (loi 78-17 du 6 janvier 1978, art. 69) ou autorisation administrative de la Commission de l’informatique et des libertés (Cnil). Par ailleurs, les transferts fondés sur le Safe Harbor antérieurement à la décision d’invalidation devraient être régularisés auprès de la Cnil. Les entreprises qui ont mis en œuvre des flux vers les Etats-Unis sont donc aujourd’hui dans une situation juridique complexe et incertaine, caractérisée par le passage d’une logique de déclaration d’engagement et d’autocertification à une logique de réglementation contraignante pour les entreprises, assortie d’une intensification des contrôles par les autorités (Cnil, FTC, etc.). Nos conseils : mettre place des solutions alternatives, notamment contractuelles. Il est aujourd’hui vivement conseillé aux entreprises qui mettent en œuvre des flux vers les Etats-Unis : 1) d’effectuer un audit des données transférées pour identifier celles qui ont été transférées sur le fondement du Safe Harbor ; 2) de limiter le transfert de données à celles dont la nature ou l’utilisation sont indispensables ou nécessaires à l'activité de l’entreprise ; 3) concernant les transferts intra-groupe, identifier toutes les entités concernées afin de définir la solution la plus appropriée. A court terme, il conviendrait de mettre en place des solutions contractuelles provisoires en attendant l’adoption de solutions plus pérennes, comme des règles internes d’entreprise (Binding Corporate Rules, BCR) ; 4) concernant les transferts de données vers les fournisseurs de services, auditer les contrats existants se référant au Safe Harbor et déterminer si le fournisseur concerné propose une solution contractuelle alternative appropriée ou est en mesure d’adopter des BCR « sous-traitant » ; 5) d’étudier avec leurs fournisseurs de services américains une solution juridique plus appropriée permettant à leur clientèle européenne de continuer à utiliser leurs services légalement.