Pour gérer vos consentements :

La justice européenne invalide le Safe Harbor, et après ?

Après le droit à l’oubli, la Cour de Justice de l’Union Européenne (CJUE) vient de prendre une décision importante dans le domaine de la protection des données personnelles. Elle vient de suspendre l’accord dit Safe Harbor, conclu entre les Etats-Unis et l’Union européenne en 2001. Cet accord regroupe un ensemble de principes de protection des données. Il autorise les entreprises établies aux États-Unis adhérant au Safe Harbor, notamment les GAFA (Google, Apple, Facebook, Amazon), à recevoir des données en provenance de l’Union européenne dans un cadre légal.

L’affaire qui conduit aujourd’hui la CJUE à remettre en cause cet accord a débuté en 2014. Considérant qu’au regard des révélations d’Edward Snowden sur la surveillance de masse pratiquée par la NSA américaine, la protection des données transférées aux Etats-Unis n’est pas assurée, un Autrichien du nom de Max Schrems a déclenché en 2014 une action collective en justice contre Facebook. Et ce auprès de l’autorité chargée de la protection de la vie privée en Irlande (le siège européen du réseau social étant basé à Dublin). Le régulateur irlandais a rejeté la plainte. Saisie du dossier, la Haute Cour de justice irlandaise a estimé que la CJUE était compétente dans ce dossier.

Pas de sécurité adéquate, droit de recours bafoué

Le 23 septembre dernier, l’Avocat Général, Yves Bot, a rendu ses conclusions préconisant que les autorités nationales de contrôle puissent enquêter et suspendre, le cas échant, le transfert de données personnelles de l’Union européenne vers des serveurs situés aux États-Unis. Un camouflet pour la Commission européenne qui assurait que les Etats-Unis respectaient une « sphère de sécurité » pour les données personnelles. Pour Yves Bot, « le droit et la pratique des États-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées, sans que ces derniers bénéficient d’une protection juridictionnelle effective ».

Cette intrusion des services américains de renseignement participe, selon lui, d’une double ingérence : « celle dans le droit au respect de la vie privée et dans le droit des protections des données à caractère personnel et celle dans le droit des citoyens de l’Union à un recours effectif ». Or ces ingérences ne respectent pas le principe de proportionnalité, car « la surveillance exercée par les services de renseignement américains est massive et non ciblée ».

Associations ravies, industriels inquiets

La CJUE a donc décidé de suivre les conclusions de l’Avocat Général en suspendant le Safe Harbor. Une victoire pour plusieurs associations comme la Quadrature du Net ou l’Institut de la souveraineté numérique. Ce dernier explique qu’ « en réaffirmant le rôle des autorités nationales de protection des données personnelles vis-à-vis de l’accord Safe Harbor, ces conclusions placent aussi le principe de souveraineté sur les données au cœur de la doctrine européenne ».

Une telle décision était par contre redoutée par le groupe de pression Digital Europe qui rassemble 35 organisations professionnelles nationales, dont le Syntec Numérique (administrateur de Digital Europe) et l’Afdel en France, et 59 entreprises du secteur, parmi lesquelles Apple, Google, Microsoft et Oracle. Il dénonçait un impact négatif « sur les flux internationaux de données », ce qui porterait préjudice à « la création d’un marché numérique unique en Europe en fragmentant l’approche de l’Europe sur le traitement des flux de données à l’extérieur de l’UE ». Plus de 4 500 sociétés travaillent sous le régime du Safe Harbor afin de faciliter les échanges commerciaux, les paiements ou le traitement des données clients, rappellent les lobbyistes.

Et après ?

Quel sera l’impact réel de cette décision ? La fin du Safe Harbor va certainement compliquer la tâche de plusieurs entreprises, notamment américaines. Mais il existe d’autres instruments pour les transferts de données, rappellent nos confrères de Numerama. Et de citer les BCR (Binding Corporate Rules), un code de bonne conduite via lequel les entreprises garantissent contractuellement un niveau de protection suffisant aux données personnelles qu’ils veulent traiter ailleurs que dans l’UE. Ces BCR doivent être validés par les 28 autorités de protection des données. Plusieurs entreprises ont ainsi établi des BCR, comme BMC, eBay (.pdf), HP, OVH, et de nombreux groupes bancaires, mais pas Facebook. Il existe aussi des clauses contractuelles types soutenues par la Commission européenne. Malgré tout, la suspension du Safe Harbor va alourdir les procédures.

Un autre effet de la décision pourrait être l’accélération de la création de datacenters en Europe de la part des géants de l’IT américains. La localisation des données sur le sol européen pourrait garantir « une protection adéquate » pour l’Union européenne. De plus en plus d’acteurs IT ont franchi le pas comme AWS, Salesforce, Apple ou Oracle. Reste maintenant à connaître l’issue d’un autre conflit, celui entourant le Patriot Act qui oblige les fournisseurs américains de Cloud à transmettre des données personnelles stockées dans un datacenter en Europe. Microsoft est toujours en appel sur ce sujet.

A lire aussi :

Safe Harbor remis en cause : les industriels s’inquiètent
Protection des données : Europe et États-Unis s’accordent

crédit photo © Aquir – shutterstock

Recent Posts

e-Yuan : les sénateurs US poussent Google et Apple à le boycotter

Un projet de loi visant à interdire les applications hébergées par Google ou Apple qui…

3 heures ago

Broadcom propose 61 milliards $ pour VMware

Après les acquisitions de CA Technologies et  de la division sécurité de Symantec, le fabricant de semi-conducteurs…

3 heures ago

Cambridge Analytica, le retour : Zuckerberg poursuivi aux États-Unis

Un procureur américain considère Mark Zuckerberg personnellement responsable des conséquences de l’affaire Cambridge Analytica sur…

2 jours ago

ITSM : EasyVista change avec Patrice Barbedette, nouveau CEO

Patrice Barbedette (ex-Oracle) pilote la nouvelle phase de croissance d'EasyVista en Europe et à l'international,…

2 jours ago

Gestion de données : Databricks muscle sa direction juridique

Databricks a recruté sa responsable juridique et vice-présidente chez DocuSign pour soutenir l'exigence de conformité…

2 jours ago

Microsoft Build 2022 : beaucoup d’IA…et du Metavers au menu

A l’occasion de Build, sa conférence annuelle dédiée aux développeurs, Microsoft a fait la part…

2 jours ago