Décryptage

Invalidation du « safe harbor » : les données mieux protégées ?

Posté le 13 octobre 2015
par Philippe RICHARD
dans Informatique et Numérique

Le 6 octobre dernier, la CJUE a estimé que les États-Unis n’assuraient pas une protection adéquate des informations à caractère personnel européennes transférées outre-Atlantique.

Les données sont devenues un enjeu majeur pour de nombreux secteurs économiques. Et les entreprises américaines, soutenues par leur gouvernement, l’ont compris bien avant les Européens. Mais ces informations à caractère personnel ne doivent pas être considérées comme de simples marchandises. Elles doivent être protégées afin de respecter la vie privée de chacun.

C’est le message qu’a rappelé la Cour de justice de l’Union européenne (CJUE) dans sa décision du 6 octobre en invalidant une décision prise par la Commission européenne du 26 juillet 2000. Plus connue sous l’expression de « sphère de sécurité » (« safe harbor »), cette décision avait accordé aux entreprises faisant le commerce de données personnelles et amenées, à ce titre, à les transférer et à les stocker outre-Atlantique.

Or, pour la CJUE, les États-Unis n’apportent pas une protection suffisante de ces données personnelles. La Cour de Luxembourg constate également que les citoyens européens ne disposent d’aucun recours pour protester contre l’utilisation de leurs données personnelles.

La décision de la CJUE est l’épilogue d’une procédure entamée en 2011 en Irlande (où se trouve le siège européen de Facebook) par un étudiant en droit autrichien. Suite aux révélations d’Edward Snowden, Max Schrems avait déposé 22 plaintes contre le réseau social.

L’invalidation du Safe Harbor rappelle que le recueil de données est une vieille pratique aux États-Unis. Dans un long entretien (accès payant) accordé à Securiteoff, Maitre Olivier Iteanu, Avocat à la Cour d’Appel de Paris , rappelle qu’il « faut distinguer la loi du 25 octobre 2001 [son nom complet étant « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act » (Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme)] et PRISM. Appelée aussi USA Patriot Act, la première comprend deux modalités de collecte de données. Premièrement, les National Security Letters qui permettent à l’agence fédérale de requérir de FAI ou de sites Web des informations personnelles sur les internautes, sans aucun contrôle judiciaire. Deuxièmement, les FISA Orders (« Foreign Intelligence Surveillance Amendment Act ») . Cette loi de 1978 décrit les procédures de surveillance physique et électronique, ainsi que la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères. Quant à PRISM, c’est un programme qui est également appelé ‘Collection data program’. Il poursuit les mêmes objectifs que la loi de 2001, mais ce n’est pas la même entité. Avec PRISM, la NSA est autorisée à mettre la main dans le pot de confiture, mais on ne sait pas ce qu’elle récupère. On sait simplement que toutes les données, et notamment administratives et financières, sont accaparées ».

Dix-huit mois après l’arrêt de mai 2014 contraignant Google à appliquer le droit au déréférencement de données personnelles, le fameux « droit à l’oubli », la CJUE rappelle donc à l’ordre les États-Unis.

Quelles peuvent être les conséquences ? Une relocalisation physique des traitements de données en Europe pourrait être envisagée même si cela sera long et couteux. Il est encore trop tôt pour identifier les impacts car les batailles judiciaires ne sont peut-être pas terminées. En « affirmant que les États-Unis n’ont pas un niveau de protection suffisant, la Cour européenne de justice ouvre aussi la voie à des attaques contre des clauses contractuelles signées entre des entreprises européennes et américaines », estime l’avocat Joseph Smallhoover, de Bryan Cave.

Par ailleurs, un Règlement européen sur la protection des données, plus protecteur, devrait être adopté d’ici la fin de l’année et concerner indirectement les géants du net.

La prochaine réunion des différentes CNIL européennes permettra de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt.

Par Philippe Richard

Et aussi dans les bases documentaires :


Pour aller plus loin