Safe Harbor suspendu : l’Europe s’attaque aux géants du Net

Ecrit par ProtégerSonImage le 20 octobre 2015
Vie privée 0 commentaire
Safe Harbor suspendu : l’Europe s’attaque aux géants du Net

Le 6 octobre 2015, la Cour de justice de l’Union européenne a invalidé l’accord Safe Harbor. Quelles sont les conséquences sur les données personnelles stockées par des entreprises américaines comme Facebook ou Google?

Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a décidé de suspendre le « Safe Harbor » un accord qui autorise les entreprises américaines, dont les géants du Net Facebook et Google, à utiliser les données personnelles des Européens. La Cour considère que les États-Unis n’offrent pas un niveau de protection suffisant aux données personnelles transférées et que l’Europe ne peut vérifier si les transferts de données personnelles vers les États-Unis respectent les exigences de la directive européenne sur la protection des données personnelles.

Le Safe Harbor c’est quoi ?

Le Safe Harbor ou «sphère de sécurité», désigne un accord passé, en juillet 2000, entre la Commission européenne et le département américain du Commerce, pour permettre le transfert des données personnelles de citoyens européens vers les Etats-Unis. Cet accord remplace la directive de 1995 qui limitait ce transfert, le niveau de protection des données personnelles aux Etats-Unis étant inférieur aux standards de l’Union européenne.

Les entreprises établies aux États-Unis qui adhèrent volontairement au Safe Harbor peuvent ainsi recevoir des données à caractère personnel en provenance de l’Union européenne, ce transfert n’est pas soumis à une décision d’autorisation de la CNIL (Commission nationale de l’informatique et des libertés). Pour adhérer au Safe Harbor, il suffit aux entreprises américaines de s’auto-certifier via une certification annuelle. Ceci permet à ces entreprises – dont Facebook, Google, Amazon, Apple ou Microsoft – de stocker dans des serveurs situés aux États-Unis les données de leurs utilisateurs européens. Il y a plus de 5000 entreprises concernées qu’on peut trouver sur la liste officielle des entreprises concernées  (source : https://safeharbor.export.gov/list.aspx).

Pourquoi cette remise en cause du Safe Harbor ?

Les révélations d’Edward Snowden, ancien consultant de l’agence de renseignement américaine NSA, ont mis en lumière en 2013 des pratiques d’espionnage de masse des Européens, notamment le programme Prism qui permet à l’agence américaine d’accéder aux données stockées par les géants américains de l’Internet.

Dans l’accord Safe Harbor, une clause de permet aux autorités américaines d’accéder ­ en cas de menace pour la sécurité nationale ­ aux données personnelles des Européens. Ceci explique que plusieurs acteurs de la société civile, de même que le Parlement européen, ont demandé la suspension du Safe Harbor, en mars 2014. Depuis, la Commission européenne et le département américain du Commerce se sont engagés dans une renégociation de l’accord sans résultat concret.

Entre­temps, le Safe Harbor a aussi été remis en cause sur le plan judiciaire. Maximilian Schrems, un juriste et militant autrichien du droit à la vie privée, est en effet parti il y a quelques années en croisade contre les pratiques de Facebook. D’abord en demandant, en 2011, une copie de ses données stockées par le réseau social, il découvre à cette occasion qu’y figuraient toujours des données qu’il avait effacées. Suite à cela, il dépose une vingtaine de plaintes auprès de l’autorité de protection des données personnelles en Irlande, où Facebook a son siège européen.

En 2014, devenu avocat, il dépose une nouvelle plainte contre la surveillance exercée par le réseau social, dans le sillage des révélations d’Edward Snowden, pour demander que soit mis fin au transfert de données personnelles depuis Facebook Ireland vers Facebook USA. La justice s’est toutefois déclarée incompétente puisque les transferts de données personnelles vers les États­Unis sont couverts par le Safe Harbor. Max Schrems  a fait alors appel, et c’est la Cour d’appel qui a décidé de demander l’avis de la Cour de justice de l’Union européenne. Yves Bot, avocat général de la CJUE, s’est chargé de l’enquête et a recommandé d’invalider le Safe Harbor qui a finalement été suspendu le 6 octobre 2015.

Les conséquences de l’invalidation de l’accord Safe Harbor sur les données personnelles.

D’un point de vue strictement juridique, toutes les entreprises qui utilisaient cet accord pour transférer des données personnelles aux États-Unis devraient en théorie trouver une nouvelle solution…ou annuler les contrats passés avec leurs utilisateurs. En pratique, il existe d’autres méthodes pour autoriser les transferts de données, via des clauses contractuelles ou en utilisant le système des «binding corporate rules» (BCR) qui constituent un code de bonne conduite, définissant la politique d’une entreprise en matière de transferts de données.

Les utilisateurs sont peu susceptibles de voir des restrictions dans leur utilisation quotidienne. Facebook, Google et autres géants du Net vont continuer à fonctionner normalement mais ne pourront plus s’abriter, en cas de procédure, derrière le fait qu’elles font partie du Safe Harbor et que les transferts de données entre l’Europe et l’Amérique sont présumés légaux.

La principale conséquence de la fin du Safe Harbor sera une défiance du public européen à l’encontre des entreprises américaines. Même si difficilement quantifiables, les conséquences commerciales pourraient être importantes. Les prestataires de clouds américains s’étaient déjà plaints à l’époque des effets des révélations Snowden sur leurs activités.

On peut noter aussi que c’est la deuxième fois que l’Europe s’attaque aux géants du Net après la décision de mai 2014 de la Cour de justice de l’Union Européenne sur le droit à l’oubli*. L’association professionnelle Digital Europe, qui regroupe la plupart des grands entreprises du Net a rapidement réagi à cette décision et demandé à la Commission européenne et au gouvernement américain de renégocier un nouvel accord Safe Harbor aussi vite que possible.

La Commission européenne discute également en parallèle avec le parlement et le conseil de l’Union, d’un règlement unifié à l’échelle de l’Europe concernant les données personnelles. Une règlementation qui  aurait comme mission de simplifier les démarches pour les entreprises et dans le même temps donner plus de contrôle aux particuliers sur leurs données. On attend de voir ce texte !

*Il accorde aux individus le droit de s’opposer au traitement de leurs données personnelles et de demander le déréférencement des liens qui apparaissent dans une recherche associée à leur nom.