Le groupe du G29 qui réunit les CNIL européennes donne trois mois aux autorités européennes et américaines pour négocier un nouvel cadre de « Safe Harbor » pour légaliser le transfert de données personnelles vers les USA. Mais un accord est-il suffisant ?

Quel sera l’impact concret de la décision de la Cour de justice de l’Union européenne dans l’affaire Maximilan Schrems, qui a invalidé le régime du Safe Harbor accordé aux Etats-Unis par la Commission européenne en 2000 ?

Plusieurs écoles s’opposent. Il y a d’abord ceux qui estiment que la décision de la CJUE n’aura finalement que peu d’importance pratique, au moins pour les grands acteurs du Web qui ont d’autres possibilités légales d’exporter des données personnelles vers les USA. Les procédures sont plus lourdes et plus coûteuses, ce qui sera problématique pour les start-up fragiles, mais elles restent disponibles en l’absence du régime simplifié par le Safe Harbor.

Puis il y a ceux qui assurent au contraire que c’est l’ensemble de l’édifice juridique permettant la circulation des données personnelles sur Internet qui est menacé, du fait des révélations d’Edward Snowden qui démontrent que les données des Européens ne sont pas en sécurité aux Etats-Unis, quel que soit le modèle juridique employé pour les transférer (Safe Harbor, clauses types, Corporate Binding Rules…).

Un nouvel accord

Nous sommes plutôt de la première école. En particulier parce que dans sa décision, la CJUE a pris soin de ne pas intégrer explicitement les pratiques réelles ou supposées de la NSA dans son analyse juridique de la situation. Les juges ont invalidé le Safe Harbor parce qu’ils ont estimé, d’une part que la loi américaine actuelle donne de trop larges pouvoirs de consultation des données aux autorités US, et d’autre part que les Européens n’avaient pas accès aux recours judiciaires nécessaires pour faire valoir leurs droits à la protection des données personnelles sur le sol américain.

“Les CNIL ont donné 3 mois aux autorités américaines

Il suffirait donc aux USA de patcher leur arsenal législatif pour que les arguments de la CJUE soient neutralisés et qu’un nouveau Safe Harbor puisse couvrir le transfert des données, même si en pratique la NSA menace toujours de ses grandes oreilles.

C’est tout le sens du communiqué (.pdf) publié vendredi dernier par le groupe G29, qui réunit les différentes CNIL européennes. En principe, l’avis de la CJUE aurait dû s’imposer immédiatement et conduire les autorités nationales à proscrire l’exportation des données au bénéfice de toute entreprise qui se déclarait couverte par le Safe Harbor, désormais inexistant. Mais par pragmatisme, la CJUE n’ayant pas elle-même repoussé les effets de sa décision, les CNIL européennes ont décidé de donner trois mois aux autorités américaines et européennes pour se mettre d’accord sur une forme de « Safe Harbor 2.0 ».

« Le G29 demande aux États membres et aux institutions européennes d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux », indique le communiqué. Le groupe prévient qu’un accord Etats-Unis / Europe visant à apporter des « garanties fortes aux citoyens européens » serait nécessaire mais pas suffisant.

ultimatum réel ou coup de comm’ ?

Le fait qu’il précise que la solution doit aussi porter sur des solutions « techniques » est une nouveauté intéressante, dont on ne saisit cependant pas bien les contours. On doute (c’est une litote) qu’il puisse s’agir d’obliger les hébergeurs à chiffrer les données des Européens de telle manière qu’eux-mêmes n’y aient pas accès et ne puissent en fournir copie aux autorités américaines. Or c’est bien là la seule garantie réelle qui puisse être apportée techniquement.

“Sanctionner les firmes qui exportent leurs données

« Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes  », ajoute le G29.

Ce faisant, le groupe montre ses muscles et prévient même que « si aucune solution satisfaisante n’était trouvée avec les autorités américaines avant la fin du mois de janvier 2016 », les CNIL européennes pourraient « mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées ». En clair, elles pourraient sanctionner Facebook, Amazon, Google, Microsoft ou Twitter qui exportent des données vers leurs serveurs américains.

Mais ces sanctions n’interviendront que dans le scénario où aucun accord pour un Safe Harbor 2.0 n’est trouvé avec les États-Unis d’ici le 31 janvier 2016, et que « l’évaluation en cours des outils de transferts par le G29 » n’aboutit pas à la conclusion que les autres dispositifs légaux (clauses types et BCR en particulier) restent exploitables par les entreprises.

Partager sur les réseaux sociaux

Articles liés