Accord Safe Harbor invalidé : retour sur les conséquences pour les entreprises ?

Qu’est-ce que Safe Harbor ?

En 1995, la commission Européenne a voté la directive 95/46/CE afin d’instaurer un cadre légal au sein de l’UE quant à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive spécifie également que les transferts de données depuis un Etat membre de l’Union Européenne vers un pays tiers ne sont autorisés que si ce dernier offre « un niveau de protection adéquat ».

Chaque Etat dispose donc d’autorités de contrôle (comme la CNIL en France, le PFPD en Suisse, la Commission de Protection de la Vie Privée en Belgique, …) chargées de veiller à l’application de cette réglementation.

En 2001, la Commission Européenne conclut un accord avec le Département du Commerce américain afin de faciliter la circulation des données personnelles entre ces deux régions : le Safe Harbor ou « sphère de sécurité ».

Le Safe Harbor établit que les entreprises américaines membres offrent des garanties suffisantes quant à la sécurité des données personnelles. Ainsi, des milliers d’entreprises américaines sont autorisées à transférer vers les Etats-Unis les données personnelles de leurs clients.

Pourquoi une remise en cause de l’accord Safe Harbor ?

Suite aux révélations de l’ancien agent de la CIA et consultant de la NSA, Edward Snowden, la  CNIL et le G29 ou encore la Quadrature du Net et l’Institut de la souveraineté numérique avaient déjà pointé du doigt les insuffisances de l’accord Safe Harbor.

Edward Snowden dévoile ainsi l’existence du programme PRISM, qui permet au gouvernement américain d’opérer une surveillance accrue des internautes en exploitant des « backdoors », présents dans de nombreux logiciels.

Ainsi, l’Etat Américain opère une surveillance de masse sur les données à caractère personnel recueilles notamment par les logiciels américains vendus en Europe.

Mais il faudra attendre l’affaire Maximilian Schrems pour que l’Europe prenne conscience que les Etats Unis n’apportent pas « un niveau de protection adéquat » lors du transfert des données à caractère personnel prévu par l’accord Safe Harbor.

Ce jeune irlandais dépose plusieurs plaintes contre les géants du web qui traitent les données personnelles aux Etats-Unis partant du postulat que suite aux révélations de l’existence de PRISM, les serveurs des entreprises américaines n’apportent pas un niveau de « protection adéquate ». D’abord débouté auprès des instances d’Irlande, il dépose un recours et les autorités irlandaises décident alors de saisir la Cour de Justice de l’Union Européenne.

Par un arrêt en date du 6 octobre 2015, la Cour de Justice de l’Union Européenne met fin à la décision n°2000/520 de la Commission Européenne dite « Safe Harbor » en matière de protection de données personnelles, donnant ainsi raison Maximilian Schrems.

La CJUE a, en ce sens, suivi les conclusions de l’avocat général, Yves Bot, qui déclarait : « Des pays tiers ne sauraient en aucun cas être réputés assurer un niveau de protection adéquat aux données à caractère personnel des citoyens de l’Union lorsque leur réglementation autorise effectivement la surveillance et l’interception massives et non ciblées de ce type de données ».

Quels impacts de la décision pour les entreprises et administrations ?

Au regard de la décision de la CJUE, il apparaît très clairement que les transferts de données depuis l’Union Européenne vers les Etats-Unis ne sont plus possibles par le biais de l’adhésion au Safe Harbor. En tout état de cause, les transferts de données à caractère personnel qui s’opèreraient encore sur cette base juridique sont illégaux notamment sur le fondement de la Loi Informatiques et Libertés.

Bien qu’utilisées dans un but professionnel, ces informations sont de nature personnelle au regard de la loi et l’entreprise doit donc répondre à toutes les obligations légales relatives au traitement et à la protection de ces données. Une entreprise qui stocke des données personnelles a donc une réelle responsabilité vis-à-vis de la loi et de la justice sur ce qu’il advient des données.

Selon la loi Informatique et Libertés, les transferts de données personnelles hors Union européenne sont interdits sauf si :
•    le transfert a lieu vers un pays reconnu par la Commission Européenne comme « Offrant un niveau de protection des données suffisant » (par ex Safe Harbor)
•    des Clauses Contractuelles Types, approuvées par la Commission Européenne, sont signées entre deux entreprises,
•    des Règles internes d’entreprises (BCR) sont adoptées au sein d’un groupe

Les sanctions encourues en cas de non respect des règles en matière de transfert sont de 300 000€ d’amende et de 5 ans d’emprisonnement.

Si dans le premier cas, il s’agit de l’accord « Safe Harbor », invalidé aujourd’hui, les Clauses Contractuelles ou les BCR semblent constituer une alternative si elles permettent d’assurer un niveau de protection suffisant aux données transférées hors de l’Union Européenne.

Dans le cadre d’un avenant aux clauses contractuelles, si une entreprise américaine s’engage à modifier les termes du contrat afin de respecter le droit européen en la matière, il n’y a aucune garantie que les autorités américaines stoppent la surveillance massive et non ciblées de ce type de données. 

Dans tous les cas, la CNIL est l’autorité compétente en la matière pour autoriser les clauses Contractuelles Types ou les BCR. Or, entreprendre ces démarches apparaît comme minimaliste étant donné la position favorable de la CNIL concernant la décision de la CJUE. Il y a donc fort à parier que la CNIL ne se prononcera pas favorablement face à ces autorisations.

Chaque entreprise et administration devra également modifier chaque « déclaration normale » faite à la CNIL concernant leurs outils de surveillance comme les outils de proxy et de filtrage de contenus faisant précédemment mention à l’accord Safe Harbor.

Il va sans dire également que le « Responsable de traitement » de ces données est au cœur du débat puisqu’il est le garant de la confidentialité de ces données.

Les autorités nationales réunies au sein du G29 le 15 octobre 2015 ont demandé aux institutions européennes ainsi qu’aux gouvernements concernés de trouver des solutions juridiques et techniques d’ici 3 mois, soit jusqu’au 31 janvier 2016. La Commission Européenne a, quant à elle, réitéré sa volonté de travailler en coopération avec les autorités américaines. Mais ce projet est déjà en discussion depuis 2 ans sans pour autant avoir abouti à un accord.

Liste des entreprises faisant partie d’accord Safe Harbor : cliquez ici

En conclusion

Ces derniers événements ne font qu’animer un débat déjà bien présent autour du choix de solution souveraine, notamment dans le domaine des logiciels de sécurité Internet qui collectent nécessairement des données à caractère personnel que ce soit à travers la conservation des logs nominatifs obligatoire en France ou les statistiques de navigation.

Cette décision s’inscrit également dans la logique et l’orientation poussée par des organismes étatiques comme l’ANSSI, la Direction Générale de l’Armement (DGA), la Direction Générale des Entreprises (DGE), etc. qui participent activement à la délivrance du label « France Cybersecurity », gage de qualité indiquant que les produits et services sont conçus et opérés en France. Label obtenu par Olfeo lors de la dernière journée de présentation de la stratégie nationale pour la sécurité du numérique organisée par le SGDN, en présence de Manuel Valls, premier ministre et d’Axelle Lemaire, Secrétaire d’Etat au Numérique.