Blog

Les entreprises américaines et européennes résistent à la crise de la vie privée et espèrent la réincarnation du Safe Harbor

tempête 2012-07-30
La récente invalidation du Safe Harbor entre l’Union européenne et les États-Unis est saluée comme une victoire par les défenseurs de la vie privée et un pas en arrière majeur par les entreprises en ligne. Safe Harbour, un cadre qui permettait auparavant le transfert de données personnelles entre les États-Unis et l'UE, a été frappé par la Cour de justice de l’Union européenne (CJUE). Depuis, de nombreux transferts de données entre les deux continents ont été jugés illégaux.



Cela signifie que les données personnelles détenues par Google, Facebook, Apple et toute autre société multinationale ne peuvent plus être transférées d'ordinateurs et de serveurs en Europe vers des serveurs aux États-Unis ou vice versa dans le cadre du Safe Harbor. Les sociétés de commerce électronique et de stockage cloud peuvent également être affectées. Le tribunal a jugé que la surveillance de masse exercée par la National Security Agency (NSA) des États-Unis rendait insuffisante la protection des données par ces sociétés.

Mais combien de temps cela va-t-il durer ? Le groupe de travail sur la protection des données de l’article 29, un organe consultatif de l’UE composé de représentants des autorités nationales de protection des données des pays respectifs, a accordé aux États-Unis un délai de grâce pour renégocier le cadre Safe Harbor. Cela signifie, entre autres restrictions, qu’il n’y aura plus de surveillance massive des citoyens et des entreprises de l’UE par la NSA. Après janvier 2016, les entreprises en ligne opérant de l’autre côté de l’Atlantique seront fermées à moins qu’un accord ne soit trouvé.



Au cas où vous auriez besoin d’un rappel, voici un aperçu des principales forces en jeu (non exhaustif) :

  • CJUE : La Cour de justice de l'Union européenne examine la légalité des actes dans l'Union européenne et garantit que chacun respecte les traités. Il uniformise généralement les lois dans tous les États membres, même si dans ce cas, il a fait le contraire en permettant aux APD de contester le Safe Harbor au cas par cas et pays par pays.
  • DPA : les autorités de protection des données sont des agences nationales qui peuvent enquêter sur les allégations de malversation. Dans ce cas, cela signifie qu’ils peuvent enquêter pour savoir si la NSA a enfreint ou non des lois sur la confidentialité, fournissant ainsi une base pour interdire les transferts de données entre l’UE et les États-Unis.
  • Max Schrems : L’étincelle qui a enflammé Safe Harbor, Max Schrems est le militant autrichien de la vie privée dont le procès contre le transfert de ses données Facebook depuis des serveurs irlandais vers des serveurs américains est devenu la pierre angulaire de la décision de la CJUE.
  • Commissaire à la protection des données : commission qui a initialement accordé le statut de Safe Harbor aux États-Unis. La CJUE a invalidé la décision de la Commission, abolissant ainsi la sphère de sécurité entre l’UE et les États-Unis.
  • Gouvernement des États-Unis : À plusieurs niveaux, les États-Unis devront à la fois retirer leurs programmes de surveillance et renégocier les conditions des transferts de données vers et depuis l’Europe. Cela signifie obtenir le feu vert du président et éventuellement du Congrès, sans parler du respect de la NSA. Les principales agences impliquées comprennent le Département d’État et la Federal Trade Commission.

Quelques documents pertinents (encore une fois, non exhaustifs) :



  • Groupe de travail 'Article 29' sur la protection des données : Un organisme consultatif de l'UE sur la protection des données composé de représentants des autorités nationales de protection des données (APD). L’article 29 WP définit les prochaines étapes sur la manière de gérer la décision de la CJUE.
  • Arrêt de la CJUE : Dans l'affaire Max Schrems contre le commissaire à la protection des données, la CJUE a statué que la Haute Cour d'Irlande avait le pouvoir d'enquêter pour savoir si les données de Schrems étaient correctement protégées contre la NSA, invalidant ainsi le statut de Safe Harbor des États-Unis (Safe Harbor empêchait auparavant de telles enquêtes par les DPA). Même si elle n'affecte directement que les transferts de données entre les États-Unis et l'UE, la décision fixe les un précédent pour d'autres pays faire de même, annulant ainsi le Safe Harbor et obligeant les entreprises à recourir à des clauses modèles.
  • RGPD : Le règlement général sur la protection des données, non encore adopté, remplacera la loi actuelle sur la protection des données d'ici 2017. Parmi ses nombreuses fonctions, il étendra la loi aux sociétés Internet en dehors de l'UE, attribuera un DPA à chaque entreprise, rendra les entreprises plus responsables pour la confidentialité et la sécurité, et oblige les entreprises multinationales à nommer des délégués à la protection des données pour garantir la conformité.
  • Directive 95/46/CE du Parlement européen et du Conseil : la loi actuelle de l’UE sur la protection des données qui sera remplacée par le RGPD.
  • Charte des droits fondamentaux de l'UE : Une liste de droits pour chaque citoyen de l'UE protégés par la loi. L'article 8 traite de la protection et de l'accès aux données personnelles.

Les entreprises peuvent toujours utiliser des clauses modèles comme solution de contournement à la place du Safe Harbor jusqu'en janvier 2016, date limite fixée à l'article 29 WP pour que les États-Unis se conforment ou renégocient les normes du Safe Harbor. Clauses types, ou contrats modèles , prévoient des conditions de garanties suffisantes similaires à celles de la sphère de sécurité.

Mais même avant janvier, le transfert de données est risqué. Des clauses modèles, des règles d'entreprise contraignantes et d'autres solutions de contournement sont à l'étude par le groupe de travail de l'article 29 et pourrait être invalidé tout comme le Safe Harbor. Elles ont été appliquées par la même Commission des données que celle que la CJUE a annulée dans l’affaire Schrems. En outre, les APD peuvent toujours enquêter sur les plaintes au cas par cas et considérer les transferts comme illégaux avant même la date limite de janvier. Comme l’a dit un analyste, une clause modèle est une « théière en chocolat » – un mécanisme fragile principalement utilisé pour sauver les apparences – avec une date d’expiration.

Craignant le pire, les multinationales sont déjà à la manœuvre pour éviter de se faire épuiser. Google, par exemple, permet aux clients de Google Apps d'opter pour un modification du traitement des données et clauses types de contrat pour échapper à toute retombée. Facebook a annoncé qu'il tenterait de exprimer son cas devant la Haute Cour d'Irlande, arguant qu'elle s'est conformée aux normes Safe Harbor et n'a pas permis un accès détourné aux autorités américaines. Une décision de la Haute Cour d'Irlande est attendue en novembre.

Mise à jour:Facebook ne se joindra pas à la procédure, mais une décision de justice pourrait être retardée en raison d'une très longue enquête sur la plainte de Schrem menée par le commissaire irlandais à la protection des données.

L’UE et les États-Unis négocient de nouvelles conditions de protection des données depuis qu’Edward Snowden a dénoncé les programmes de surveillance de masse de la NSA en 2012. Les responsables n’ont pas réussi à parvenir à un accord qui remplacerait effectivement le Safe Harbor avant que la décision de la CJUE ne l’invalide au début du mois. Le temps presse désormais, il reste trois mois pour parvenir à un consensus. Le nouveau dispositif devra probablement être compatible avec le RGPD.

Ne pas le faire serait préjudiciable à de nombreuses sociétés Internet multinationales. Toutes les clauses modèles, règles d’entreprise contraignantes et modifications du traitement des données destinées à protéger les transferts de données personnelles n’auront que peu de chance sous le contrôle d’un tribunal européen. Les chances que cela se produise semblent toutefois faibles. Un coup de projecteur sur le sujet, combiné à une augmentation des dépenses de lobbying en faveur d’un résultat final qui profite aux entreprises, accélérera probablement le processus.

Pour des raisons économiques avant tout, le Safe Harbor devrait faire son retour, peut-être sous un nom différent. Malgré l’attention des médias et des militants, les pressions exercées par les forces de pression pendant les négociations pourraient atténuer les problèmes de confidentialité. Idéalement, l’UE pourrait forcer la main aux États-Unis pour qu’ils retirent leurs programmes de surveillance de masse, réussissant ainsi au nom des entreprises là où les intérêts des individus échouent.

' Tempête 2012-07-30 » de Jan-Erik Finnberg sous licence CC PAR 2.0

^