La décision est historique. Le 6 octobre dernier, la Cour de justice européenne (CJUE) a mis fin à l'accord du Safe Harbor, en vigueur depuis quinze ans. Cette « sphère de sécurité » autorisait environ 4.500 entreprises américaines, dont les géants Google, Facebook, Amazon, Apple et Microsoft, à transférer aux États-Unis, pour les traiter et les analyser, les données personnelles de leurs utilisateurs européens. Pourquoi un tel privilège ? Souveraineté oblige, les transferts de données personnelles hors UE sont généralement interdits. Mais la Commission avait estimé, en 2000, que les États-Unis offraient un « niveau de protection suffisant » des données des Européens.
Malgré les alertes, nombreuses, des défenseurs de la vie privée, il a fallu attendre 2013 pour que la Commission européenne entame de discrètes négociations pour réformer le Safe Harbor, considéré comme trop permissif.
« Jusqu'à récemment, l'Europe était complètement à la ramasse alors que les Américains ont compris l'enjeu stratégique des données, poumon de l'économie numérique, dès le début des années 2000 », résume un fin connaisseur du dossier.
L'affaire Snowden sert de déclic. Le lanceur d'alerte révèle les pratiques de surveillance de masse des Européens par la NSA... avec la participation active des géants du Net, et donc de leurs données transférées grâce au Safe Harbor.
Dans son arrêt, la CJUE se fonde sur une plainte déposée par un citoyen autrichien, Max Schrems, contre Facebook. Effrayé par l'incroyable quantité de données que le réseau social possède sur lui, le jeune avocat porte plainte. Consultée, la CJUE lui donne raison, le 23 septembre, en estimant que les programmes de surveillance de masse américains sont incompatibles avec une « protection adéquate des droits des citoyens européens », ce qui conduit à l'invalidation du Safe Harbor. L'arrêt redonne aussi du pouvoir aux Cnil nationales, déclarées compétentes pour défendre leurs citoyens face aux multinationales.
Une tempête dans un verre d'eau
La décision de la CJUE est donc avant tout symbolique. Elle génère aussi un vide juridique, puisque le Safe Harbor était le cadre juridique « par défaut ». Toutefois, sa suspension n'empêche pas les transferts de données. Les sociétés utilisent d'autres normes, comme des contrats spécifiques contrôlés par les agences européennes de protection des données, ou encore la possibilité de recourir aux « règles internes d'entreprises » pour transférer des données entre les différentes filiales. En fait, l'arrêt du Safe Harbor pénalise surtout les PME et ETI qui dépendaient exclusivement de l'accord transatlantique, contrairement aux géants du Net.
Puisqu'elle ne met pas fin aux pratiques contestées, la CJUE crée donc une tempête dans un verre d'eau. Les négociations autour du futur Safe Harbor 2 sont cruciales et battent déjà leur plein à Bruxelles. La balle est dans le camp des Européens. Sauront-ils forcer les États-Unis à modifier leur législation pour la mettre en conformité avec les principes européens, et ainsi continuer à profiter de l'or gris de nos données ? À moins que les lobbies ne réussissent à imposer un consensus mou, qui prendrait la forme d'un simple renforcement des mécanismes de recours et de contestation en cas d'abus. Verdict d'ici à l'été prochain.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !