Sans base légale mais en acceptant de prendre « un risque », les CNIL européennes ont donné jusqu'à fin janvier à l'Union européenne et aux États-Unis pour s'accorder sur un autre cadre permettant l'export de données personnelles vers les USA. Mais l'ultimatum ne sera visiblement pas respecté, et les autorités administratives hésitent sur l'attitude à adopter, entre diplomatie, force ou faiblesse.

C’est dans une position délicate que la Cour de justice de l’Union européenne (CJUE) a plongé la CNIL et ses homologues du G29, lorsqu’elle a décidé le 6 octobre dernier d’invalider le Safe Harbor, qui permettait aux entreprises américaines comme Facebook d’importer chez elles les données des internautes européens. La plus haute juridiction de l’Union a de fait obligé les autorités de protection des données à choisir entre leur mission officielle de protection de la vie privée des citoyens, et leur contrainte officieuse de ne pas bloquer l’activité économique liée à l’exploitation des données personnelles.

Dans un arrêt protecteur des droits de l’homme tel que la CJUE les multiplie ces dernières années concernant Internet, la Cour a en effet jugé que les conditions n’étaient plus réunies pour être certain que les États-Unis respectent en droit et en fait la bonne protection des données personnelles des internautes européens traitées sur le sol américain. Elle a donc invalidé avec effet immédiat le Safe Habor qu’utilisaient des milliers d’entreprises américaines, dont Facebook, Google, ou Microsoft, ce qui aurait dû conduire à bloquer immédiatement tous les transferts de données vers les États-Unis, au moins le temps que les dossiers fondés sur d’autres mécanismes juridiques soient vérifiés et validés.

Isabelle Falque Pierrotin (source : France Inter)
Isabelle Falque Pierrotin (source : France Inter)

Or la CNIL et ses homologues ont décidé, sans aucune logique juridique mais par choix politique et pragmatique, d’octroyer aux États-Unis et à la Commission européenne un ultimatum fixé au 31 janvier 2015 pour négocier un nouveau Safe Harbor 2.0 assorti de nouvelles législations protectrices aux USA. «  Quand nous avons appelé à une période de transition jusqu’en janvier, c’était un risque que nous avons pris ensemble. (…) Nous avons décidé de cette phase de transition afin de permettre à tous les acteurs du secteur de prendre leurs responsabilités », reconnaît aujourd’hui la présidente de la CNIL Isabelle Falque-Pierrotin, dans une interview à Euroactiv.

« Les transferts de données ne continueront pas à n’importe quel prix »

Mais les négociations traînent, et les États-Unis n’ont toujours pas proposé de législation qui permettrait notamment aux Européens de faire valoir leurs droits contre la NSA, lorsque celle-ci accède à leur données sans contrôle judiciaire. En principe, le Safe Harbor 2.0 (s’il aboutit) ne devrait donc pas être plus sécurisant que l’ancien, et n’aura aucune validité pour légaliser les transferts des données.

Interdire les transferts ? L’arme atomique

La menace de l’arme atomique de la suspension des transferts de données, brandie notamment en Allemagne, est donc théoriquement existante. Mais la CNIL peine à (se) convaincre d’une intention de l’utiliser, tant les enjeux économiques sont forts. « Nous souhaitons tous que les transferts de données continuent, parce qu’ils sont associés à des intérêts économiques et politiques très importants. Mais ils ne continueront pas à n’importe quel prix », prévient ainsi Mme Falque-Pierrotin.

Alors que le G29 avait demandé que des solutions juridiques soient trouvées avant la fin janvier 2016, le groupe se contente désormais d’exiger « un geste politique ».

« Je ne sais pas s’il sera possible de finaliser tout cela avant fin janvier, mais nous devons au moins recevoir un signe qu’ils ont compris le message des juges. Il ne s’agit pas de produire un Safe Harbor numéro deux. Il faut réellement tenir compte des arguments du juge, qui s’inquiète de la protection des données des citoyens européens aux États-Unis, quand les services de renseignement y ont accès », prévient la présidente du groupe des CNIL européennes.

Rendez-vous fin janvier pour voir quelles mesures seront effectivement prises.

Partager sur les réseaux sociaux

Articles liés