La justice européenne invalide le Safe Harbor, et après ?

La Cour de Justice de l’Union Européenne a suivi les conclusions de l’Avocat Général préconisant la suspension de l’accord Safe Harbor entre l’UE et les Etats-Unis. Une décision qui va rendre plus difficile le transfert des données entre les deux blocs.

Après le droit à l’oubli, la Cour de Justice de l’Union Européenne (CJUE) vient de prendre une décision importante dans le domaine de la protection des données personnelles. Elle vient de suspendre l’accord dit Safe Harbor, conclu entre les Etats-Unis et l’Union européenne en 2001. Cet accord regroupe un ensemble de principes de protection des données. Il autorise les entreprises établies aux États-Unis adhérant au Safe Harbor, notamment les GAFA (Google, Apple, Facebook, Amazon), à recevoir des données en provenance de l’Union européenne dans un cadre légal.

L’affaire qui conduit aujourd’hui la CJUE à remettre en cause cet accord a débuté en 2014. Considérant qu’au regard des révélations d’Edward Snowden sur la surveillance de masse pratiquée par la NSA américaine, la protection des données transférées aux Etats-Unis n’est pas assurée, un Autrichien du nom de Max Schrems a déclenché en 2014 une action collective en justice contre Facebook. Et ce auprès de l’autorité chargée de la protection de la vie privée en Irlande (le siège européen du réseau social étant basé à Dublin). Le régulateur irlandais a rejeté la plainte. Saisie du dossier, la Haute Cour de justice irlandaise a estimé que la CJUE était compétente dans ce dossier.

Pas de sécurité adéquate, droit de recours bafoué

Le 23 septembre dernier, l’Avocat Général, Yves Bot, a rendu ses conclusions préconisant que les autorités nationales de contrôle puissent enquêter et suspendre, le cas échant, le transfert de données personnelles de l’Union européenne vers des serveurs situés aux États-Unis. Un camouflet pour la Commission européenne qui assurait que les Etats-Unis respectaient une « sphère de sécurité » pour les données personnelles. Pour Yves Bot, « le droit et la pratique des États-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées, sans que ces derniers bénéficient d’une protection juridictionnelle effective ».

Cette intrusion des services américains de renseignement participe, selon lui, d’une double ingérence : « celle dans le droit au respect de la vie privée et dans le droit des protections des données à caractère personnel et celle dans le droit des citoyens de l’Union à un recours effectif ». Or ces ingérences ne respectent pas le principe de proportionnalité, car « la surveillance exercée par les services de renseignement américains est massive et non ciblée ».

Associations ravies, industriels inquiets

La CJUE a donc décidé de suivre les conclusions de l’Avocat Général en suspendant le Safe Harbor. Une victoire pour plusieurs associations comme la Quadrature du Net ou l’Institut de la souveraineté numérique. Ce dernier explique qu’ « en réaffirmant le rôle des autorités nationales de protection des données personnelles vis-à-vis de l’accord Safe Harbor, ces conclusions placent aussi le principe de souveraineté sur les données au cœur de la doctrine européenne ».

Une telle décision était par contre redoutée par le groupe de pression Digital Europe qui rassemble 35 organisations professionnelles nationales, dont le Syntec Numérique (administrateur de Digital Europe) et l’Afdel en France, et 59 entreprises du secteur, parmi lesquelles Apple, Google, Microsoft et Oracle. Il dénonçait un impact négatif « sur les flux internationaux de données », ce qui porterait préjudice à « la création d’un marché numérique unique en Europe en fragmentant l’approche de l’Europe sur le traitement des flux de données à l’extérieur de l’UE ». Plus de 4 500 sociétés travaillent sous le régime du Safe Harbor afin de faciliter les échanges commerciaux, les paiements ou le traitement des données clients, rappellent les lobbyistes.

Et après ?

Quel sera l’impact réel de cette décision ? La fin du Safe Harbor va certainement compliquer la tâche de plusieurs entreprises, notamment américaines. Mais il existe d’autres instruments pour les transferts de données, rappellent nos confrères de Numerama. Et de citer les BCR (Binding Corporate Rules), un code de bonne conduite via lequel les entreprises garantissent contractuellement un niveau de protection suffisant aux données personnelles qu’ils veulent traiter ailleurs que dans l’UE. Ces BCR doivent être validés par les 28 autorités de protection des données. Plusieurs entreprises ont ainsi établi des BCR, comme BMC, eBay (.pdf), HP, OVH, et de nombreux groupes bancaires, mais pas Facebook. Il existe aussi des clauses contractuelles types soutenues par la Commission européenne. Malgré tout, la suspension du Safe Harbor va alourdir les procédures.

Un autre effet de la décision pourrait être l’accélération de la création de datacenters en Europe de la part des géants de l’IT américains. La localisation des données sur le sol européen pourrait garantir « une protection adéquate » pour l’Union européenne. De plus en plus d’acteurs IT ont franchi le pas comme AWS, Salesforce, Apple ou Oracle. Reste maintenant à connaître l’issue d’un autre conflit, celui entourant le Patriot Act qui oblige les fournisseurs américains de Cloud à transmettre des données personnelles stockées dans un datacenter en Europe. Microsoft est toujours en appel sur ce sujet.