FAIRE CONNAISSANCE

NEWSLETTER

Top

Comprendre Safe Harbor

safeharbor

La Cour de Justice de l’Union européenne a fait beaucoup de bruit le 6 octobre dernier en rendant un arrêt historique pour la protection des données : l’arrêt Max Schrems qui invalide la décision Safe Harbor.

Qu’est-ce que Safe Harbor ?

Il s’agit d’un accord unique en son genre, mis en place entre l’UE et les USA pour s’assurer que les données personnelles des consommateurs européens transférées aux États-Unis à des fins commerciales sont protégées de manière satisfaisante. Cela prend toute son importance lorsque l’on sait que la plupart des entreprises de technologie d’information et de communication sont américaines et qu’elles n’ont pas d’obligations aussi rigoureuses qu’en Europe concernant le respect de la vie privée. En l’an 2000, la Commission européenne a pris une décision (dite décision « Safe Harbor »)[1] qui affirme que ce mécanisme est satisfaisant pour la protection de la vie privée et que les transferts de données UE-USA sont autorisés à ce titre.

Concrètement, Safe Harbor («Sphère de sécurité» en français) est une sorte de code de conduite de la protection des données personnelles auquel les entreprises américaines qui le souhaitent peuvent se conformer. Si elles le font et qu’elles s’enregistrent auprès de la Commission fédérale du Commerce américaine, elles sont alors considérées comme assurant un niveau de protection des données suffisant. Dans ce cas, et seulement dans ce cas, elles sont répertoriées sur une liste publique et sont autorisées à recevoir et traiter des données personnelles de citoyens européens dans le cadre de leurs activités commerciales. A l’inverse, les entreprises qui ne figurent pas sur la liste ne sont pas autorisées à recevoir des données de la part d’entreprises européennes.

À ce jour, plus de 3 200 entreprises américaines se conforment à Safe Harbor, dont  Facebook, EBay, Amazon, Microsoft, Yahoo!, Apple, LinkedIn et Google. Elles reçoivent donc nos données.

La remise en cause grandissante de Safe Harbor : un équilibre sécurité/vie privée insuffisant

Dès son adoption Safe Harbor a été critiqué -notamment par notre groupe S&D- pour être trop permissif à l’égard des entreprises américaines. Mais il a été encore plus radicalement remis en cause suite aux révélations sur les activités de surveillance de masse par la NSA en juin 2013 (déclarations d’Edward Snowden). En effet, l’accord Safe Harbor autorise des exceptions aux règles de protection des données lorsque cela se justifie par des « motifs liés à la sécurité nationale ». Il est donc possible que des entreprises américaines aient remis des données personnelles de citoyens européens aux agences américaines de renseignement (du type NSA), sans que les citoyens européens n’en soient informés …

Suite à ces révélations, la Commission a officiellement exprimé des doutes sur l’efficacité de Safe Harbor et a entrepris sa réévaluation. Elle a conclu que le mécanisme était lacunaire, sans toutefois le suspendre. Elle a en revanche émis 13 recommandations pour améliorer son fonctionnement (sur quatre grands axes: renforcement de la transparence, renforcement des recours, renforcement de la mise en œuvre et modalités d’accès des autorités américaines aux données). Les autorités américaines avaient jusqu’à l’été 2014 pour proposer des améliorations sur la base de ces recommandations. Plus d’un an après, les USA et la Commission sont toujours en train de renégocier Safe Harbor… bien qu’ils aient déclaré à plusieurs reprises être sur le point d’aboutir [2].

Le Parlement européen a eu l’occasion d’exprimer ses doutes dans une résolution de juillet 2013 puis de demander la suspension immédiate de Safe Harbor en mars 2014. Le groupe des eurodéputés Socialistes & Démocrates a été particulièrement actif pour demander la suspension de l’accord dès 2013 puis de nouveau début 2015.

Le gouvernement français demande pour sa part la renégociation de Safe Harbor depuis plusieurs années déjà.

Le 6 octobre dernier, la Cour de Justice de l’Union Européenne s’est donc exprimée sur cet accord après avoir été saisie par un activiste autrichien de la protection des données (Max Schrems). Elle a estimé que la décision Safe Harbor était invalide à plusieurs titres. Tout d’abord parce que les obligations découlant de Safe Harbor ne lient que les entreprises américaines et non pas les autorités publiques américaines. Ensuite, parce que les entreprises américaines sont tenues de déroger aux règles de Safe Harbor dès lors qu’elles entrent en conflit avec les exigences américaines relatives à la sécurité nationale et il est donc possible qu’elles violent le droit à la vie privée des citoyens européens à ce titre.

La suspension de Safe Harbor: quid pour la suite?

Malgré la suspension de la décision Safe Harbor, les transferts de données aux USA à des fins commerciales peuvent toujours avoir lieu sur la base de dérogations[3]. La différence, c’est que les compagnies ne peuvent plus se retrancher derrière leur certification Safe Harbor pour se dédouaner des griefs qui pourrait leur être fait sur leurs pratiques en matière de protection de la vie privée. En revanche, ces méthodes restent de maigres garanties en matière de protection des données, elles ne sont pas adaptées pour toutes les compagnies, notamment les plus petites et, surtout, elles n’empêchent pas la NSA de s’octroyer l’accès aux bases de données des entreprises américaines. En outre, beaucoup d’incertitude règne sur la validité juridique de ces instruments. En conséquence, tout le monde s’accorde à dire qu’il faut mettre un nouveau cadre légal en place au plus vite.

Pour l’instant la position de la Commission reste la même: elle souhaite achever la renégociation de Safe Harbor avec les USA et obtenir un accord qui présenterait davantage de garanties pour la vie privée. Elle estime que le jugement Schrems lui donne plus de poids dans les négociations avec les USA. Idem du côté américain, la Secrétaire d’État au Commerce a indiqué placer beaucoup d’espoir dans la renégociation de Safe Harbor.

Cependant, certains eurodéputés, au premier rang desquels Jan Philip Albrecht (député vert allemand qui est une pointure des dossiers sur la protection des données), estiment que ce n’est pas tant la renégociation de Safe Harbor qui importe mais plutôt la révision du système juridique américain lui-même, celui-ci ne présentant pas suffisamment de garanties en matière de protection des données. La balle est selon eux dans le camp des autorités américaines qui devraient relever leurs standards de respect de la vie privée et s’assurer que les citoyens européens bénéficient des mêmes droits que les citoyens américains en la matière.

Les incidences de cet arrêt vont bien au-delà du transfert de données commerciales entre l’UE et les US, il est encore difficile d’en mesurer toute la portée. Une chose est certaine, l’arrêt Schrems ravive les préoccupations si ce n’est les tensions en matière de respect des données personnelles dans les relations UE-États-Unis.

 

[1] Il s’agit de la décision2000/520/CE. Bien qu’une réforme importante de la protection des données soit en cours et qu’on s’attende à sa conclusion d’ici aux prochains mois, toutes les règles générales de protection des données actuellement en vigueur dans l’UE sont contenues dans une directive de 1995. Cette directive prévoit que les échanges de données entre l’UE et un pays tiers ne sont en principe possibles que si le pays tiers offre un niveau suffisant de protection Si tel est le cas, la Commission peut prendre une « décision d’adéquation» constatant que ce pays assure un niveau de protection adéquat. Le transfert de données par des entreprises européennes vers des entreprises du pays tiers est alors automatiquement autorisé (article 25).

[2] On sait simplement que des progrès satisfaisants ont été faits sur « les aspects commerciaux (soit 12 recommandations sur 13) » mais que l’UE attend toujours des « précisions sur les exemptions permises pour les raisons de sécurité nationale, notamment quant à l’accès à ces données personnelles par les services de renseignements américains » (Agence Europe)

[3] Article 26 de la directive 95/46/CE sur la protection des données.

Partager sur facebook Twitter Syvie Guillaume