L'Europe peut-elle empêcher le transfert des données hors de ses frontières ?

 |   |  926  mots
Edward J. Snowden. Cet informaticien américain, ancien employé de la CIA et de la NSA a dénoncé les pratiques de ces agences
Edward J. Snowden. Cet informaticien américain, ancien employé de la CIA et de la NSA a dénoncé les pratiques de ces agences (Crédits : © Mark Blinch / Reuters)
L'invalidation du Safe Harbor, qui régule l'échange de données personnelles entre l'Europe et les Etats-Unis, n'est pas une bonne chose. Potentiellement, les échanges hors d'Europe pourraient être condamnés. Par Noëlle Lenoir, ancienne ministre française des Affaires européennes, présidente de l'Institut de l'Europe d'HEC Paris

 Maximilian Schrems est-il le Snowden européen ? Et que penser de l'action du jeune avocat autrichien contre Facebook, dont il a été pourtant aficionado, qui a débouché sur l'invalidation par la Cour de Justice de l'Union européenne le 6 octobre 2015 du « Safe Harbor », l'accord entre l'UE et les Etats-Unis qui depuis 15 ans régule les échanges de données personnelles entre les deux grands partenaires commerciaux ? Répond-elle à l'intérêt public ? Ce n'est pas sûr, dans la mesure où le vide juridique ainsi créé rend ces échanges illégaux sans qu'il y ait de véritable alternative pour garantir la sécurité juridique indispensable aux relations économiques internationales.

Le sous produit de l'affaire Snowden

Tout cela résulte du fait que, pour condamner le Safe Harbor, la Cour européenne se fonde uniquement sur les pratiques des services de renseignements américains méconnaissant selon elle le droit à la vie privée et à la protection des données consacré par la Charte des droits fondamentaux de l'Union européenne. Il est clair que l'arrêt Schrems est un sous-produit de l'affaire Snowden. L'ancien agent de la National Security Agency avait dénoncé les pratiques de surveillance de l'agence consistant à demander un accès indifférencié aux métadonnées (identité des personnes et date de leurs échanges sur internet) stockées dans les systèmes des entreprises américaines. Sauf à modifier en profondeur l'organisation de ses services de renseignement pour limiter cet accès à des informations strictement ciblées et au cas par cas, plus aucune donnée personnelle ne pourra à l'avenir être transférée de l'Europe vers les Etats-Unis : voilà le message de la Cour européenne.

 Un nouvel accord?

Si le groupe dit de l'article 29, réunissant les autorités nationales de protection des données de l'Union européenne telle que la CNIL, n'avait cru bon de reporter l'application de l'arrêt Schrems au 31 janvier 2016 - délai estimé suffisant à la renégociation d'un nouveau Safe Harbor - les quelques 5000 entreprises adhérentes seraient actuellement passibles de poursuites.

Un nouvel accord protégeant les entreprises d'une telle éventualité sera-t-il conclu à la date fixée? Ce n'est pas certain, car face aux exigences de la lutte contre le terrorisme islamiste, en particulier après les massacres du 13 novembre à Paris, les priorités ont changé. Les Etats membres de l'Union veulent un renforcement du renseignement. En témoigne la pression opérée sur le Parlement européen pour lui faire admettre - enfin - la mise en place du Passenger Name Record (PNR) assurant la traçabilité des passagers aériens à l'arrivée et au départ du territoire de l'Union. Quant au gouvernement américain, après l'adoption en 2015 par le Congrès de réformes limitant l'accès des services secrets aux données du secteur privé et au vu des nouvelles lois françaises et britanniques sur le renseignement, il est d'autant moins enclin à aller plus loin que les Etats européens sont demandeurs d'une coopération UE/Etats-Unis plus étroite en ce domaine.

Les transferts de données hors d'Europe potentiellement condamnés

Force est de constater que l'arrêt Schrems, au-delà même du Safe Harbor, condamne potentiellement en réalité l'ensemble des transferts de données personnelles de l'Union européenne vers des pays tiers. La Cour incite les autorités de protection des données à enquêter en effet sur le respect par ces pays, où sont transférées des données sur les citoyens européens, des exigences de la législation européenne, y compris en ce qui concerne les pratiques de leurs services secrets. Elle les autorise même à suspendre tout transfert vers les pays ne satisfaisant pas aux critères définis dans l'arrêt Schrems.

Ces autorités se trouvent ainsi désormais mandatées, dans le cadre de l'instruction des plaintes déposées devant elles, pour s'assurer des pratiques des services de renseignements des pays de transfert... Est-ce réaliste quand on sait l'importance du commerce entre la Chine et l'Union européenne, par exemple ? Et comment la France dont de plus en plus de start ups partent avec succès à la conquête du monde, notamment avec les objets connectés, va-t-elle pouvoir bénéficier des échanges de données à la base de cette technologie ?

Rapatrier tous les clouds en Europe?

Là où le bât blesse, c'est que la Cour estime que le droit européen de la protection des données prévaut sur toute législation étrangère, même celle relevant de la souveraineté nationale. Résultat : elle fragilise les procédures alternatives - que sont les « clauses contractuelles type » et les « règles contraignantes d'entreprise » - qui ne sont pas plus aptes que le Safe Harbor à garantir par elles-mêmes le respect des exigences de l'arrêt Schrems. Maximilian Schrems poursuit son oeuvre de justicier en multipliant les plaintes : il propose de rapatrier en Europe tous les clouds abritant des données sur les Européens. Vaste programme !

Refermer la boîte de Pandore ouverte par la Cour européenne ne sera donc pas chose aisée.

Noëlle Lenoir, ancienne ministre française des Affaires européennes, est actuellement présidente de l'Institut de l'Europe d'HEC Paris. Elle est également présidente du Cercle des Européens, un think tank dont elle est la fondatrice. Elle a été la première femme et la plus jeune membre nommée au Conseil constitutionnel français.

© Project Syndicate 1995-2016

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 15/02/2016 à 10:11 :
Mme Lenoir, votre atlantisme au détriment de l'intérêt national est surprenant. Rapatrier les serveurs en France me paraît une priorité stratégique. A l'heure actuelle, nos données sont captées par tous nos concurrents, américains et maintenant chinois. L'inverse est malheureusement inexistant.
a écrit le 14/02/2016 à 10:58 :
Ancien ingénieur d'Alcatel, connaissant parfaitement la construction et l'informatisation des équipements télécoms (les bases de réseau jusqu'aux mobiles et autres tablettes), je suis pour le rapatriement des Clouds en France. La plupart des données bancaires sont actuellement hébergées aux USA. Cela ne me plait pas du tout, vu le comportement de la NSA (je ne crains pas d'acheter un iPhone ...) ainsi que du gouvernement US et des entreprises qui veulent s'emparer de marchés en Europe et dans le monde. Comportement sans aucun scrupules, soi disant pour la sécurité mais qui cache beaucoup de choses peu honnêtes.
Idem pour l'hébergement des données de santé, de pharmacie, d'ailleurs ... Snowden a vraiment été très courageux, il a bousillé sa vie pour les autres. Peu de gens dans l'histoire ont fait ce qu'il a fait.
Réponse de le 14/02/2016 à 13:18 :
Complètement d'accord avec vous. Sauf sur l'ifone : j'ai mieux car je SAIS m'en servir et, en plus, ça coûte moins cher. Mais ça, les idiots auront toujours du mal... signe extérieur de richesse, certainement. D'où la bêtise.
a écrit le 13/02/2016 à 18:16 :
Bonjour,
Ne suffirait il pas de déclarer que s'agissant des données personnelles de l'utilisateur, c'est le droit de son pays de résidence qui s'applique ? A charge pour l'entreprise de determiner si elle souhaite commercer dans ce pays selon ces règles.
Michroute.
a écrit le 13/02/2016 à 17:57 :
Un seul leit-motiv: US GO HOME.
a écrit le 13/02/2016 à 17:31 :
L'Europe peut-elle ? Non. Le doit-elle ? Non, car ce n'est pas aux états de gérer l'idiotie de gens qui mettent en ligne leurs données sur Facebook, Twitter ou autre réseau. En revanche, les données soumises à divers établissements commerciaux ou administratifs doivent être protégées parce qu'on ne peut pas faire autrement que de les soumettre quand on achète un produit, service ou quand on doit communiquer avec les instances légales.
a écrit le 13/02/2016 à 15:38 :
C'est très bien ainsi, le CRM sauvage et l'espionnage de nos données personnelles doit cesser. Il est à l'origine d'un pillage industriel et d'un profilage des individus et des sociétés Européennes parfaitement inadmissible et condamnable. Il n'échappera à personne que les données sont devenues une marchandise de grande valeur.
a écrit le 13/02/2016 à 13:46 :
Il est clair que la dernière fois où notre pays a été envahi (avant la prochaine fois), les fichiers de police ont été une aubaine pour la sélection. De plus, hormis pour les vedettes du net, l'espioniste commence à être difficilement supportable... Et les données SWIFT : les us continuent à les recevoir, je suppose...
a écrit le 13/02/2016 à 12:24 :
A t on le droit de faire un "intranet" européen? ou national?

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :