Suspension de l'accord Safe Harbor  : et si c'était une bonne chose  ?

 |   |  478  mots
Isabelle Renard.
Isabelle Renard. (Crédits : DR)
"Un petit pavé de la CJUE dans la mare des lobbies qui tentent de faire accroire qu'il faut avaler n'importe quoi pour faire du commerce." Dans une décision publiée le 16 octobre, la CNIL confirme que depuis le 6 octobre 2015, les transferts de données personnelles vers les Etats Unis opérés sur la base du Safe Harbor sont illégaux. Par Isabelle Renard, avocat-Ingénieur, cabinet IRenard Avocats.

Le Safe Harbor est un accord négocié en 2001 entre la Commission européenne et le département du Commerce américain. Il permet de considérer que les entreprises américaines inscrites sur une liste publiée sur un site internet du département du commerce américain offrent une protection suffisante aux données personnelles. Cela facilite considérablement les transferts de données depuis l'Europe vers les Etats-Unis, qui sont sinon soumis à des formalités contraignantes.

L'inscription des entreprises américaines sur cette liste se fait sur une base volontaire après une auto-certification, sans audit ni vérification d'aucune sorte. L'affaire Snowden, en révélant le caractère massif de l'espionnage auquel se livraient les autorités américaines sur les données des Européens, avec la bienveillante coopération des entreprises américaines, a fait voler en éclat le mythe de la fiabilité du Safe Harbor.

Suspension pure et simple

Saisie d'une affaire qui opposait un citoyen autrichien à Facebook, la cour de justice des communautés européennes a coupé court aux efforts peu convaincants de la Commission européenne pour négocier un « Safe Harbor 2 », en décrétant le 6 octobre dernier la suspension pure et simple du Safe Harbor.

Presque toutes les entreprises européennes sont impactées. Qui aujourd'hui ne fait pas appel à des solutions en « cloud computing » pour les applications de back office ou de gestion client acquises auprès d'acteurs opérant aux Etats-Unis, impliquant nécessairement le transfert de données personnelles vers des entreprises américaines ?

Le CNIL et ses homologues européens (le G29) ont demandé aux institutions européennes et aux gouvernements concernés de trouver des solutions avant le 31 janvier 2016. D'ici là, charge aux entreprises françaises de s'organiser pour minimiser leur risque de se retrouver en infraction avec la législation, sachant que tout transfert de données réalisé de façon illégale est passible de 300.000 euros d'amende et de 5 ans d'emprisonnement. Et que la CNIL, qui n'a jamais caché sa méfiance vis-à-vis du Safe Harbor, va veiller.

 Procéder par ordre

Compte tenu de l'ampleur du problème au sein des grandes entreprises, il va falloir procéder par ordre. C'est-à-dire en fonction de l'effectivité du risque, qui dépend des données concernées. Il ne reste plus qu'à s'atteler sans trop attendre à l'inventaire des transferts couverts par le Safe Harbor, et décider au cas par cas des mesures à prendre. Ce qui pourra aller jusqu'au changement de fournisseur si aucune solution crédible de remplacement n'est envisageable.

Au bout du compte, ce petit pavé de la CJUE dans la mare des lobbies qui tentent de faire accroire qu'il faut avaler n'importe quoi pour faire du commerce n'a pas que du mauvais. Favoriser l'émergence de solutions françaises compétitives par exemple ?

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 23/10/2015 à 16:21 :
Les GAFA (Google, Amazon, Apple, Facebook) et leur connivence à laisser accéder nos flux d'infos personnelles (Big Data) au Département d'Etat américain vient d'être dénoncé. C'est un recadrage qui semble bienvenu, à une époque où on constate les excès américains en terme de surveillance, peu en importent les moyens (NSA, Snowden...). Si certaines données peu sensibles peuvent être transférées sans vraiment de souci, d'autres données (médicales, financières, politiques...) sont bien plus sensibles et méritent d'être protégées, des deux côtés de l'Atlantique (surtout du nôtre). Les nouvelles technologies méritent aussi d'être pesées en terme de sécurité (cloud...). Il y aura bien sûr une version 2 plus "safe" qui sera mise en place. Espérons dans tous les cas une sécurisation rapide et efficace du dispositif, notamment pour toutes les jeunes (ou moins jeunes) entreprises qui travaillent dans ce domaine et ont besoin, comme en politique, d'un environnement stable et d'une vision de l'avenir qui ne soit pas limitée à quelques mois, pour se développer. Et qu'à l'avenir, la Commission Européenne qui a signé le traité mis en cause sera plus attentive : son rôle est de s'assurer / de se donner les moyens de vérifier que les US assument effectivement un niveau de protection au moins égal à celui assuré en UE. Ce qu'elle n'a pas fait.
Ce raté me laisse quelques appréhensions pour le Traité Transatlantique en cours de négociation...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :