Arrêt de la Cour de Justice Européenne invalidant le « Safe Harbor » : On vient de dessiner une frontière sur internet.

      Pas de commentaire

Arrêt de la Cour de Justice Européenne invalidant le « Safe Harbor » : On vient de dessiner une frontière sur internet.

La décision d’invalider le principe « safe harbor » était attendue depuis fort longtemps par les spécialistes des données personnelles[1]. Elle revient en pratique à dire que, non, les Etats-Unis ne proposent pas un cadre de protection des données équivalent à celui prévu en Europe et qu’on ne peut donc pas présupposer qu’ils sont une destination « sûre » pour l’export de données personnelles européennes.

L’impact opérationnel est bien décrit par le Préposé fédéral Suisse à la protection des données et à la transparence[2], sur le portail officiel de la Confédération (http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/01320/index.html?lang=fr) :

  1. Le Safe Harbor « ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis »
  2. Dans l’intervalle, il est recommandé, « pour l’échange de données personnelles avec des entreprises américaines, de convenir de garanties contractuelles », en utilisant les Transborder Model Clauses prévues par l’UE ou le régime alternatif des Binding Corporate Rules.
  3. « Ces garanties ne règlent [toutefois] pas le problème d’accès disproportionnés des autorités »

A la lecture de la décision de la Cour de Justice de l’UE, on constate effectivement que ce qui a fait pencher la balance est la mise en place, par les autorités américaines, d’un dispositif généralisé d’interception des communications, qui, d’après la Cour, dépasse très largement les principes de proportionnalité entre nécessité de contrôle et liberté des individus. La Cour invalide d’ailleurs l’avis de la Commission sur ce point et donne plus de pouvoir aux autorités nationales de protection des données pour contrôler la Commission[3].

Une application stricte du droit amènerait une interdiction d’exporter des données personnelles européennes vers les Etats-Unis. C’est donc une rupture majeure dans le monde du web, qui va impacter de nombreux fournisseurs de services (sites web, services cloud, outsourcing…) : On vient de dessiner une frontière sur internet !

En pratique, même si certaines autorités locales ont déjà ouvert des procédures[4], des délais de mise en conformité ont été accordés jusqu’au 31 janvier 2016[5] et tous les acteurs recherchent une solution pratique, notamment avec une renégociation du Safe Harbor qui avait commencée avant même la décision de la Cour[6].

A court terme, l’ensemble des acteurs recommandent d’opter pour le cadre usuel européen pour les pays tiers sans protection particulière des données personnelles (Binding Corportate Rules ou Transborder Model Clauses), comme nous le faisons lorsque nous accompagnons la négociation de contrats d’outsourcing avec l’Inde ou le Maghreb, par exemple. C’est ce qu’a fait Google en ajoutant les Binding Corporate Rules à son adhésion au Safe Harbor[7].

Les mécanismes de Binding Corportate Rules / Transborder Model Clauses permettent d’intégrer dans les politiques d’entreprise / le contrat signé avec un acteur américain des principes similaires à ceux de la Directive Européenne sur la protection des données personnelles. Ces protections, indispensable en l’absence de Safe Harbor ne protègent cependant en aucun cas les données européennes du Patriot Act qui passe au-dessus des politiques d’entreprise ou des engagements contractuels. Ce n’est donc pas une solution suffisante sur le long terme.

Certains acteurs avaient cependant anticipé ce risque, et notamment Microsoft, qui a mis en place des datacenters en Irlande, isolés de toute chaine de commandement américaine et donc du Patriot Act. D’autres grands acteurs du net pourraient suivre cette option, qui leur permettra d’obtenir la sécurité juridique au prix d’une certaine perte d’agilité et, peut-être, d’un investissement supérieur en Europe. Ce sera cependant beaucoup plus compliqué pour les acteurs plus petits et en particulier les start-ups qui valorisent les données personnelles comme leur actif principal…

La Commission Européenne doit proposer une solution d’ici l’expiration du délai fixé par les autorités nationales de protection des données privées au 31 janvier prochain. Cet exercice lui demandera de trouver un difficile équilibre entre des groupes de pression puissants et bien relayés, avec d’un côté le monde économique et le gouvernement américain et de l’autre les défenseurs de la vie privée, qui sont très écoutés par le Parlement Européen[8].


 

[1] Par exemple, par la « Quadrature du Net », groupe libertaire qui milite depuis de nombreuses années sur la protection des données personnelles ou la neutralité des réseaux : http://www.numerama.com/magazine/34406-safe-harbor-la-quadrature-applaudit-la-decision-de-la-cjue.html

[2] Bien que non membre de l’Union Européenne, la Suisse a transposé la Directive Européenne dans son droit national au titre de ses accords bilatéraux avec l’UE et applique donc le droit européen.

[3] Expliqué en détail ici : http://www.village-justice.com/articles/remise-cause-Safe-Harbor-par-CJUE,20611.html

[4] http://www.numerama.com/politique/128428-safe-harbor-hambourg-menace-google-facebook-et-dautres.html

[5] http://www.linformaticien.com/actualites/id/38257/safe-harbor-facebook-menace-le-g29-met-la-pression.aspx

[6] http://www.insideprivacy.com/international/european-union/u-s-and-eu-miss-target-for-safe-harbor-renegotiation-but-remain-optimistic/

[7] https://support.google.com/a/answer/2888485?hl=en

[8] Comme en témoignent par exemple cette initiative récente : http://www.alternatives-economiques.fr/donnees-personnelles–le-parlement-europeen-s-engage_fr_art_1293_67600.html  ou cette page d’information sur le site du parlement qui positionne le sujet au cœur des missions du Parlement : http://www.europarl.europa.eu/atyourservice/fr/displayFtu.html?ftuId=FTU_5.12.8.html

A l’issue d’une formation orientée vers l’organisation et le pilotage financier, Bertrand Mingaud est intervenu dans des environnements variés et s’est spécialisé, au fil des années, sur les opérations de transformation en environnement technologique complexe, souvent à l’international. Il est, depuis 2012, Associé WillBe Group en charge des offres « Systèmes d’Information »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


*