Alors que les CNIL européennes ont donné aux États-Unis et à l'Union européenne jusqu'au 31 janvier 2016 pour se mettre d'accord sur un Safe Harbor 2.0, les négociations sur un nouveau régime d'encadrement de l'exportation des données personnelles avancent bien.

La Commissaire en charge de la Justice, Věra Jourová, s’est adressée lundi à des parlementaires européens pour faire le point sur l’état des négociations entre les États-Unis et l’Union européenne, après la décision de la Cour de justice d’invalider le Safe Harbor qui permettait aux entreprises US d’importer des données personnelles pour les traiter chez eux.

Selon le Wall Street Journal, Mme Jourová a expliqué qu’un accord informel a été trouvé sur les grands principes d’un Safe Harbor 2.0, mais que le diable se cachant dans les détails, tout restait encore à faire sur les garanties apportées au respect des engagements.

Les CNIL européennes ont donné jusqu’à fin janvier 2016 aux deux diplomaties pour se mettre d’accord. À défaut, elles pourraient interdire aux entreprises d’exporter leurs données vers les USA, sauf pour celles qui auront utilisé d’autres voies juridiques, plus longues et plus coûteuses à mettre en place.

« Il y a un accord de principe sur ces sujets, mais nous discutons toujours de la manière dont ces engagements peuvent être suffisamment contraignants pour respecter entièrement les exigences de la cour », a-t-elle précisé.

Dans son arrêt Schrems qui invalide le régime du Safe Harbor, la Cour de justice de l’Union européenne (CJUE) a considéré que les données personnelles exportées vers les USA n’y étaient pas assez sécurisées, du fait de l’accès des services de renseignement américains aux données hébergées pour tout motif de « sécurité nationale », et de l’absence de voies de recours ouvertes aux Européens.

Des règles plus claires pour la NSA

Le nouvel accord devrait prévoir :

  • des conditions plus claires et plus restrictives d’accès aux données par les services de renseignement américains ;
  • un contrôle plus strict du respect du cadre du Safe Harbor par le Département au Commerce des États-Unis (sous l’ancien régime, il suffisait aux entreprises de déclarer sur l’honneur qu’elles le respectaient) ;
  • une coopération plus étroite entre les CNIL européennes et les autorités américaines ;
  • plus de transparence de la part des entreprises sur l’utilisation faite des données personnelles ;
  • des voies de recours gratuites pour les citoyens européens qui souhaitent s’opposer à des exploitations de leurs données ;
  • un mécanisme annuel de révision du Safe Harbor, avec une supervision de sa bonne application, alors que le régime adopté en 2000 n’avait jusque là donné lieu à aucune mise à jour.

« Nous allons transformer le système, qui était purement auto-régulé, pour en faire un système contrôlé qui sera plus réactif et proactif, et soutenu par des mesures d’exécution significatives, y compris des sanctions » en cas de violation des règles, a promis Věra Jourová.

En tout état de cause, l’accord sur un éventuel Safe Harbor 2.0 ne sera pas suffisant si la loi américaine n’est pas modifiée. À cet égard la commissaire a fait remarquer que les États-Unis ont déjà fait évoluer leur législation, notamment en prévoyant que désormais les données des conversations téléphoniques ne soient plus collectées directement par la NSA mais conservées et mises à disposition des autorités par les opérateurs télécoms, comme c’est le cas en Europe. Mais il faudra aller plus loin.

De leur côté, les CNIL européennes ont demandé que l’accord ne se limite pas à des engagements politiques, mais aussi à des mesures techniques, sans préciser lesquelles.

Partager sur les réseaux sociaux

Articles liés