Safe Harbor, quand l’UE dit non

L’accord est un peu vieux, passé en 2000, il concernait le transfert des données personnelles de l’Union Européenne vers les Etats-Unis autrement dit un peu plus de 4000 entreprises américaines. Seulement, en 2013, Edouard Snowden et les informations qui en découlent, ont secoué les relations diplomatiques sur ce point avec notamment PRISM. Bernard Benhamou, Secrétaire général de l’Institut de la Souveraineté Numérique explique que « c’est la première fois qu’une instance européenne de ce niveau prend en compte l’après Snowden, c’est-à-dire la nouvelle réalité qui se pose aux acteurs européens en matière de gestion des données personnelles ».

Après que l’avocat général de la Cour de Justice Maître Yves Bot a remis ses conclusions à la suite d’un litige concernant l’autrichien Maximilian Schrems qui avait déposé un recours devant l’Autorité irlandaise de protection de la vie privée à l’encontre de Facebook, la Commission Européenne a énoncé le souhait que la sécurité respectée en Europe sur ces données sensibles individuelles soit la même lorsque les données sont en dehors géographiquement de l’UE. Comme un retour de bâton, Bernard Benhamou commente « la décision de la Cour de Justice est d’ailleurs très sévère avec la Commission européenne qui a normalement pour mission de veiller à l’application Safe Harbor,  en disant que  son obligation de contrôle n’a pas du tout été remplie ».  

Bernard Benhamou détaille la réaction à cette annonce des USA, « la poussée d’inquiétudes a été telle que la lettre envoyée par le département d’Etat, soit le ministre des affaires étrangères américain, à l’Union Européenne la semaine dernière a été très dure en disant que c’était très dangereux en termes d’innovation et pour le business ».

Les conséquences dans l’immédiat

« On sait très bien que l’accord en question n’existera plus dans les mois qui viennent » souligne le membre de l’ISN avant d’ajouter que le risque réside dans le fait qu’en cas de litige, les sociétés risqueraient de payer le prix fort si elles étaient soumises à des récriminations concernant l’exportation de données.

La renégociation de ce traité devrait s’étaler dans les prochaines semaines pour déterminer les mesures à mettre en place et à respecter des deux côtés de l’Atlantique afin de rassurer les concitoyens européens sur la protection de leurs données. Pour Bernard Benhamou, il faut « redonner un pouvoir de contrôle aux autorités chargées de les effectuer comme la CNIL en France et ses équivalents en Europe ». C’est l’intégration réelle d’entités avec leurs missions qui devraient vraisemblablement permettre de résoudre le problème…

Cependant, le cabinet Pinsent Masons garde la tête froide et annonce qu’« il n’est pas raisonnable de penser que les transferts UE / USA vont s’interrompre totalement, on peut se demander quelles protections supplémentaires des dispositifs, comme les clauses contractuelles standards ou les « binding corporate rules », pourront réellement offrir ».

Data Residency : l’alternative des pays ?

La réponse est peut-être, voire sûrement dans l’obligation de traiter ces données dans le pays de collecte ou tout du moins dans la zone européenne. Une réflexion déjà menée au bout par des pays émergents tels que la Russie, la Chine et le Brésil… Alors que les différents pays européens s’intéressent de plus en plus à la réglementation numérique et au développement lié à ce domaine à forte croissance, il semblerait que les entreprises américaines n’aient plus d’autres choix que de revoir leur architecture de gestion des données personnelles afin d’assimiler rapidement cette décision de la CJUE sans perdre en compétitivité…