Le Commissaire de la protection des données personnelles de Hambourg menace Facebook, Google et toutes entreprises installées sur son territoire de lui interdire d'exporter des données personnelles vers les USA, sans attendre l'ultimatum fixé par les CNIL au 31 janvier 2016. Crédible ?

Comme le démontre la polémique sur le projet de loi de rétention des données de connexion qui serait perçu comme protecteur des libertés en France, l’Allemagne a une sensibilité bien plus aiguë qu’en France face aux questions de protection des données personnelles, ce qu’elle doit à son histoire douloureuse avec la Stasi.

Mais cette sensibilité participe aussi d’un agenda politique qui sert l’envie de renforcer la « souveraineté allemande » ou à tout le moins la « souveraineté européenne » sur les données. L’invalidation du Safe Harbor est à cet égard une occasion trop belle de justifier des règles qui imposent aux entreprises américaines de stocker les données personnelles des utilisateurs en Europe, ce qui renforce aussi bien des idéaux que des intérêts économiques protectionnistes.

Le Safe Harbor n’existe plus

C’est donc avec un peu de précipitation que le commissaire à la protection des données personnelles du land de Hambourg a montré ses muscles cette semaine dans le Spiegel, le journal de référence allemand. Johannes Caspar, qui joue le rôle de CNIL à Hambourg, a prévenu qu’il n’attendrait pas pour enquêter sur les pratiques d’exportation des données d’entreprises du Web qui ont des bureaux à Hambourg, comme Google ou Facebook.

Caspar refuse ainsi de s’aligner sur l’ultimatum du 31 janvier 2016 fixé par l’ensemble des CNIL européennes et repris également par la Suisse, qui demandent que les négociations en cours sur un Safe Harbor 2.0 aboutissent d’ici cette date à un nouveau cadre protecteur, avant de prendre d’éventuelles sanctions.

Interdire des transferts

Appliquant une logique de fer, le juriste constate que le Safe Harbor n’existe plus et donc que dès aujourd’hui, le transfert des données vers les USA ne peut plus s’abriter légalement derrière ce régime, qui était utilisé par plus de 4 000 entreprises. Si elles ne souhaitent pas héberger leurs données exclusivement en Europe, ces entreprises doivent désormais passer par d’autres procédures plus lourdes, elles-mêmes sujettes à caution, qui doivent être validées par les CNIL nationales.

Théoriquement, les CNIL et Johannes Caspar ont désormais le pouvoir d’interdire le transfert des données d’Européens vers les États-Unis, ce qui rendrait nombre de services en ligne totalement inopérants. Une bombe atomique peu vraisemblable, mais toujours utile pour les négociations.

Partager sur les réseaux sociaux

Articles liés