Même si la Cour de justice de l'Union européenne (CJUE) suit l'avis de son avocat général et invalide le Safe Harbor accordé aux Etats-Unis, Facebook pourra continuer à exporter des données personnelles pour les traiter sur ses serveurs américains. Il devra juste apporter des garanties plus précises. Explications.

L'avis de l'avocat général de la Cour de justice de l'Union européenne (CJUE) qui a préconisé mercredi de suspendre le Safe Harbor avec les Etats-Unis sonne comme un couperet à l'encontre de Facebook et d'autres services en ligne qui collectent des données d'Européens, mais son effet sera en réalité plus limité qu'il n'y paraît. Il reste une série d'options juridiques qui permettront à Facebook de continuer sans entraves ses activités dans le cas où la CJUE venait à suivre l'opinion de son avocat général.

Rappelons que le cadre général de l'exportation de données personnelles en dehors de l'Union européenne est fixé par les articles 25 et 26 de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dite "Directive sur la protection des données personnelles").

Le principe est qu'une entreprise ou une organisation quelconque qui souhaite faire sortir des données de l'UE ne peut le faire que si le pays destinataire "assure un niveau de protection adéquat", lequel doit être apprécié "au regard de toutes les circonstances", aussi bien de droit que de fait. En vertu de l'article 25§6, la Commission européenne peut "constater qu'un pays tiers assure un niveau de protection adéquat (…) en raison de sa législation interne ou de ses engagements internationaux", auquel cas le transfert est présumé légal. C'est le fameux Safe Harbor que la Commission a accordé aux USA en 2000, que l'avocat général de la CJUE préconise de supprimer en raison du changement de circonstances dû aux révélations d'Edward Snowden.

UN PRINCIPE, BEAUCOUP D'EXCEPTIONS

Même en l'absence de Safe Harbor, les autorités nationales peuvent toujours étudier les dossiers au cas par cas pour juger que tel pays et telle entreprise qui souhaite traiter des données de citoyens européens offrent effectivement un "niveau de protection adéquat". Ce serait toutefois improbable s'agissant des Etats-Unis, si la CJUE confirme que ce niveau n'est plus atteint du fait des activités de surveillance de la NSA sur les data centers américains.

Mais même alors, le principe connaît des dérogations prévues par l'article 26. Ainsi en l'absence de Safe Harbor, il reste possible pour Facebook et tous les prestataires de cloud et autres services en ligne d'exporter des données hors de l'Union européenne, lorsqu'il "offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants".

Il est précisé que "ces garanties peuvent notamment résulter de clauses contractuelles", ce qui est tout l'intérêt des Binding Corporate Rules (BCR, ou "règles internes d'entreprise"), par lesquelles des groupes s'engagent contractuellement à garantir un niveau de protection suffisant aux données personnelles qu'ils veulent traiter ailleurs que dans l'UE. Plusieurs entreprises qui offrent des services en ligne ont ainsi établi des BCR, comme eBay (.pdf), HP, OVH, et de nombreux groupes bancaires. Facebook n'en fait pas encore partie.

Lorsqu'elles sont établies, les BCR doivent être validées par chacune des 28 autorités de protection des données (APD), ce qui est toutefois facilité par les accords de reconnaissance mutuelle qui font que lorsque l'une des APD comme la CNIL valide des BCR, elles deviennent admises par les autres :

Une autre possibilité est d'utiliser des clauses types préparées par la Commission européenne. Il en existe différents ensembles, adoptées en 2001 et en 2004 (pour les contrôleurs), et en 2002 et 2010 (pour les sous-traitants).

UN CONTRAT PEUT-IL SUFFIRE ?

Le problème reste toutefois qu'il s'agit là d'engagements contractuels qui ne résolvent en rien la question de l'accès que s'octroie ou non la NSA sur les data centers américains. Ces accords partent du principe que les états hôtes des entreprises qui signent des BCR ou adoptent des clauses types respectent leur législation, ce qui n'est hélas vrai que dans les esprits les plus naïfs.

La CNIL, qui a poussé à l'adoption des BCR après les révélations d'Edward Snowden, avait d'ailleurs été accusée de faire preuve de naïveté voire de complicité par le regretté Caspar Bowden.

"La Présidente de la CNIL a été auditionnée le 7 octobre [2013] au Parlement européen, et a indiqué que ni les Clauses contractuelles types, ni les BCR, ni le Safe Harbor ne sont les bons instruments pour faire obstacle à PRISM", nous avait alors expliqué l'autorité administrative, en référence au programme d'espionnage du contenu des bases de données. "C’est pour cette raison que nous avons fait d’autres propositions, qui relèvent du niveau de la réglementation européenne, à savoir la subordination de tout transfert de données européennes aux autorités publiques américaines à l’autorisation des régulateurs européens (reprise par le parlement à l’article 43 du projet de règlement européen) ou la conclusion d’un accord bilatéral Union européenne / Etats-Unis, et non de simples outils contractuels".

Mais tout le problème est justement qu'officiellement Facebook ne transfère aucune données vers la NSA et que la réponse par des accords bilatéraux tape donc à côté. Facebook se contente de transférer ses données chez lui, et c'est alors que la NSA disposerait des moyens de s'y servir sans aucune procédure judiciaire, ce que le réseau social dément.

Partager sur les réseaux sociaux

Articles liés