Les CNIL exigent un Safe Harbor 2.0 d’ici le 31 janvier 2016

eu-safe-harbor

Le groupe du G29 qui réunit les CNIL européennes donne trois mois aux autorités européennes et américaines pour négocier un nouvel cadre de « Safe Harbor » pour légaliser le transfert de données personnelles vers les USA. Mais un accord est-il suffisant ?

Quel sera l’impact concret de la décision de la Cour de justice de l’Union européenne dans l’affaire Maximilan Schrems, qui a invalidé le régime du Safe Harbor accordé aux Etats-Unis par la Commission européenne en 2000 ?

Plusieurs écoles s’opposent. Il y a d’abord ceux qui estiment que la décision de la CJUE n’aura finalement que peu d’importance pratique, au moins pour les grands acteurs du Web qui ont d’autres possibilités légales d’exporter des données personnelles vers les USA. Les procédures sont plus lourdes et plus coûteuses, ce qui sera problématique pour les start-up fragiles, mais elles restent disponibles en l’absence du régime simplifié par le Safe Harbor.

Puis il y a ceux qui assurent au contraire que c’est l’ensemble de l’édifice juridique permettant la circulation des données personnelles sur Internet qui est menacé, du fait des révélations d’Edward Snowden qui démontrent que les données des Européens ne sont pas en sécurité aux Etats-Unis, quel que soit le modèle juridique employé pour les transférer (Safe Harbor, clauses types, Corporate Binding Rules…).

Un nouvel accord

Nous sommes plutôt de la première école. En particulier parce que dans sa décision, la CJUE a pris soin de ne pas intégrer explicitement les pratiques réelles ou supposées de la NSA dans son analyse juridique de la situation. Les juges ont invalidé le Safe Harbor parce qu’ils ont estimé, d’une part que la loi américaine actuelle donne de trop larges pouvoirs de consultation des données aux autorités US, et d’autre part que les Européens n’avaient pas accès aux recours judiciaires nécessaires pour faire valoir leurs droits à la protection des données personnelles sur le sol américain.

“Les CNIL ont donné 3 mois aux autorités américaines”

Il suffirait donc aux USA de patcher leur arsenal législatif pour que les arguments de la CJUE soient neutralisés et qu’un nouveau Safe Harbor puisse couvrir le transfert des données, même si en pratique la NSA menace toujours de ses grandes oreilles.

C’est tout le sens du communiqué (.pdf) publié vendredi dernier par le groupe G29, qui réunit les différentes CNIL européennes. En principe, l’avis de la CJUE aurait dû s’imposer immédiatement et conduire les autorités nationales à proscrire l’exportation des données au bénéfice de toute entreprise qui se déclarait couverte par le Safe Harbor, désormais inexistant. Mais par pragmatisme, la CJUE n’ayant pas elle-même repoussé les effets de sa décision, les CNIL européennes ont décidé de donner trois mois aux autorités américaines et européennes pour se mettre d’accord sur une forme de « Safe Harbor 2.0 ».

« Le G29 demande aux États membres et aux institutions européennes d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux », indique le communiqué. Le groupe prévient qu’un accord Etats-Unis / Europe visant à apporter des « garanties fortes aux citoyens européens » serait nécessaire mais pas suffisant.

ultimatum réel ou coup de comm’ ?

Le fait qu’il précise que la solution doit aussi porter sur des solutions « techniques » est une nouveauté intéressante, dont on ne saisit cependant pas bien les contours. On doute (c’est une litote) qu’il puisse s’agir d’obliger les hébergeurs à chiffrer les données des Européens de telle manière qu’eux-mêmes n’y aient pas accès et ne puissent en fournir copie aux autorités américaines. Or c’est bien là la seule garantie réelle qui puisse être apportée techniquement.

“Sanctionner les firmes qui exportent leurs données”

« Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes  », ajoute le G29.

Ce faisant, le groupe montre ses muscles et prévient même que « si aucune solution satisfaisante n’était trouvée avec les autorités américaines avant la fin du mois de janvier 2016 », les CNIL européennes pourraient « mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées ». En clair, elles pourraient sanctionner Facebook, Amazon, Google, Microsoft ou Twitter qui exportent des données vers leurs serveurs américains.

Mais ces sanctions n’interviendront que dans le scénario où aucun accord pour un Safe Harbor 2.0 n’est trouvé avec les États-Unis d’ici le 31 janvier 2016, et que « l’évaluation en cours des outils de transferts par le G29 » n’aboutit pas à la conclusion que les autres dispositifs légaux (clauses types et BCR en particulier) restent exploitables par les entreprises.

Petit rappel sur le Safe Harbor ?

En Français « sphère de sécurité », le « Safe Harbor » est une décision de la Commission européenne, datant de 2000, qui affirme que le transfert de données personnelles d’Europe vers les Etats-Unis est possible car ce pays présente des garanties suffisantes pour la protection de la vie privée.

Très controversé, cet accord a notamment été mis à mal par les révélations d’Edward Snowden, en 2013, sur les programmes de surveillance de masse de la NSA. Les adversaires du Safe Harbor, dont Max Schrems, un Autrichien qui a déposé plusieurs plaintes contre Facebook, estimaient que ces révélations montraient que les données personnelles des Européens n’étaient en fait pas protégées lorsqu’elles étaient stockées aux Etats-Unis.

Dans son arrêt rendu mardi, la CJUE estime que le Safe Harbor n’est pas conforme au droit européen, pour plusieurs raisons détaillées sur une trentaine de pages. La Cour a notamment estimé que les recours possibles pour les citoyens européens estimant leurs droits malmenés étaient beaucoup trop faibles. Elle juge également que les programmes de surveillance de masse des Etats-Unis sont incompatibles avec une protection adéquate des droits des citoyens européens.

Cela veut-il dire que Facebook ne peut plus fonctionner en Europe, ou va devoir stocker les données des citoyens européens en Europe ?

Non : l’arrêt invalide un accord très générique. Facebook peut continuer à fonctionner comme il le faisait jusqu’à aujourd’hui, mais l’entreprise – tout comme Google ou tout autre entreprise qui stocke des données de citoyens européens aux Etats-Unis – ne peut plus s’abriter, en cas de procédure, derrière le fait qu’elle fait partie du Safe Harbor et que ses flux de données entre l’Europe et l’Amérique sont présumés légaux.

Facebook affirme en fait ne pas s’appuyer uniquement sur le Safe Harbor, mais « sur d’autres méthodes recommandées par l’Union européenne pour transférer légalement des données de l’Europe vers les Etats-Unis ».

Il existe en effet d’autres normes de transfert de données, comme par exemple les « clauses contractuelles type »  ou les « règles internes d’entreprise »  (dans le cas de transfert de données entre filiales), le Safe Harbor étant le cadre juridique simplifié et « par défaut ». Certaines entreprises du numérique utilisent déjà ces cadres juridiques alternatifs.

La Commission craint d’ailleurs que la décision de la CJUE ne favorise la multiplication de contrats spécifiques établis entre des entreprises et des pays européens, au détriment d’un cadre générique européen. Frans Timmermans, le vice-président de la Commission, a d’ailleurs annoncé que des « lignes directrices » à destination des autorités de protection des données seraient publiées afin d’éviter un « patchwork avec des décisions nationales ».

Par ailleurs, sans aller jusqu’à ces procédures juridiques, la loi européenne – plus spécifiquement l’article 26 de la directive de 1995 sur la protection des données personnelles – prévoit qu’un transfert vers un pays tiers peut être autorisé dans plusieurs cas. Par exemple, pour assurer la bonne exécution du contrat commercial (dans le cas d’une réservation d’hôtel par exemple, où les coordonnées du client sont nécessaires) ou lorsque intervient le consentement explicite de l’internaute à ce que ses données soient transférées.

Le Safe Harbor va-t-il être renégocié ?

La renégociation de cet accord était déjà en cours avant l’arrêt de la Cour. Malgré l’expiration de plusieurs dates butoirs, les négociateurs ont récemment affirmé qu’ils faisaient des progrès dans les discussions. Mais il sera difficile d’obtenir rapidement un accord qui puisse satisfaire les exigences de la CJUE : cette dernière rappelle dans son arrêt que, pour obtenir un régime de ce type, un pays doit faire la preuve qu’il offre des garanties de protection de la vie privée comparables à celles en vigueur au sein de l’UE.

Cela signifie qu’il faudrait des changements majeurs dans le droit américain pour qu’un nouvel accord ne soit pas, à son tour, invalidé par la Cour.

Que se passe-t-il dans l’immédiat ?

Plus de 4 000 entreprises étaient soumises à l’accord Safe Harbor. Nombre d’entre elles, particulièrement les plus petites, se retrouvent brusquement, au moins jusqu’à l’adoption d’un nouvel accord Safe Harbor, dans un vide juridique.

Les grands acteurs du Web, eux, sont dans l’attente. L’annulation du Safe Harbor semble les avoir pris de court. Dans un communiqué, l’association professionnelle Digital Europe, qui regroupe tous les grands acteurs du secteur (d’Apple à Toshiba en passant par Google, à l’exception de Facebook), « demande de toute urgence à la Commission européenne et au gouvernement américain de conclure leurs négociations pour parvenir à un nouvel accord “Safe Harbor” aussi vite que possible ».

« Nous demandons également à la Commission européenne d’expliquer immédiatement aux entreprises qui fonctionnaient sous le régime du Safe Harbor comment elles doivent opérer pour maintenir leurs activités essentielles durant ce vide juridique », poursuit l’association.

Facebook a, de son côté, estimé également qu’il « fallait impérativement que les gouvernements européens et américain donnent des méthodes légales pour le transfert des données et règlent toutes les questions de sécurité nationale ».

Quelles seront les conséquences plus larges de cette décision ?

Si l’arrêt de la CJUE ne porte que sur le Safe Harbor, il dénonce avec des mots très durs les programmes de surveillance de masse de la NSA américaine, présentés comme incompatibles avec les droits fondamentaux garantis par le droit européen.

Le jugement pourrait aussi influencer deux dossiers européens brûlants dont les négociations arrivent dans leur dernière ligne droite : l’accord « parapluie » sur l’échange de données personnelles pour la coopération policière, entre Europe et Etats-Unis, et le projet de règlement sur les données personnelles.

La commissaire européenne à la justice, Vera Jourova, a indiqué que l’arrêt de la Cour confortait la position de la Commission, notamment sur la nécessité d’avoir « des garde-fous solides » en matière de protection des données.

Washington s’est dit « déçu » par la décision de la justice européenne, estimant qu’elle créait une « incertitude pour les entreprises et les consommateurs à la fois américains et européens et met en péril l’économie numérique transatlantique qui est en plein essor ».

Pour finir

La décision prise par la Cour de justice de l’Union européenne d’invalider l’accord Safe Harbor doit être applaudie.

Toutefois cette affaire montre la légèreté avec laquelle des représentants d’Etats ont ébranlé les bases de leur démocratie en prenant des décisions « court-termistes » au profit du business sans limite.

No comments yet... Be the first to leave a reply!

Laisser moi votre sentiment....

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s