Le Safe Harbor est un accord négocié en 2001 entre la Commission européenne et le département du Commerce américain. Il permet de considérer que les entreprises américaines inscrites sur une liste publiée sur un site internet du département du commerce américain offrent une protection suffisante aux données personnelles. Cela facilite considérablement les transferts de données depuis l'Europe vers les Etats-Unis, qui sont sinon soumis à des formalités contraignantes.

L'inscription des entreprises américaines sur cette liste se fait sur une base volontaire après une auto-certification, sans audit ni vérification d'aucune sorte. L'affaire Snowden, en révélant le caractère massif de l'espionnage auquel se livraient les autorités américaines sur les données des Européens, avec la bienveillante coopération des entreprises américaines, a fait voler en éclat le mythe de la fiabilité du Safe Harbor.

Suspension pure et simple

Saisie d'une affaire qui opposait un citoyen autrichien à Facebook, la cour de justice des communautés européennes a coupé court aux efforts peu convaincants de la Commission européenne pour négocier un « Safe Harbor 2 », en décrétant le 6 octobre dernier la suspension pure et simple du Safe Harbor.

Presque toutes les entreprises européennes sont impactées. Qui aujourd'hui ne fait pas appel à des solutions en « cloud computing » pour les applications de back office ou de gestion client acquises auprès d'acteurs opérant aux Etats-Unis, impliquant nécessairement le transfert de données personnelles vers des entreprises américaines ?

Le CNIL et ses homologues européens (le G29) ont demandé aux institutions européennes et aux gouvernements concernés de trouver des solutions avant le 31 janvier 2016. D'ici là, charge aux entreprises françaises de s'organiser pour minimiser leur risque de se retrouver en infraction avec la législation, sachant que tout transfert de données réalisé de façon illégale est passible de 300.000 euros d'amende et de 5 ans d'emprisonnement. Et que la CNIL, qui n'a jamais caché sa méfiance vis-à-vis du Safe Harbor, va veiller.

 Procéder par ordre

Compte tenu de l'ampleur du problème au sein des grandes entreprises, il va falloir procéder par ordre. C'est-à-dire en fonction de l'effectivité du risque, qui dépend des données concernées. Il ne reste plus qu'à s'atteler sans trop attendre à l'inventaire des transferts couverts par le Safe Harbor, et décider au cas par cas des mesures à prendre. Ce qui pourra aller jusqu'au changement de fournisseur si aucune solution crédible de remplacement n'est envisageable.

Au bout du compte, ce petit pavé de la CJUE dans la mare des lobbies qui tentent de faire accroire qu'il faut avaler n'importe quoi pour faire du commerce n'a pas que du mauvais. Favoriser l'émergence de solutions françaises compétitives par exemple ?