Le 6 octobre dernier, un petit séisme a secoué l'Union européenne et les États-Unis. Dans un arrêt historique, la Cour de Justice de l'Union européenne (CJUE) a purement et simplement annulé le Safe Harbor, le mécanisme qui autorisait, depuis 2000, les entreprises à transférer des données de l'Europe vers les États-Unis.
La décision, motivée par l'absence de garanties suffisantes de la part des États-Unis concernant la protection des données des citoyens européens, a stupéfait le monde économique. Car, d'un seul coup, les 4.500 entreprises qui utilisaient ce mécanisme, dont les géants du Net comme Google, Apple, Facebook, Amazon, mais aussi une myriade de PME et ETI, se sont retrouvées dans l'illégalité et forcées à s'adapter.
Dans la foulée de l'annonce, le Groupe de l'article 29 (ou G29), composé de toutes les CNIL européennes, a lancé un ultimatum : la Commission européenne et les autorités américaines avaient trois mois pour accoucher d'un nouveau Safe Harbor. Jusqu'au 31 janvier, donc.
Alors que l'échéance approche, l'avocat Fabrice Naftalski, du cabinet EY Société d'Avocats, détaille pour La Tribune les conséquences de l'invalidation du Safe Harbor sur les entreprises, comment elles font face et ce à quoi elles doivent s'attendre à partir de février.
LA TRIBUNE. Le Safe Harbor, qui permettait l'échange de données entre l'Europe et les États-Unis, a été invalidé le 6 octobre dernier par la CJUE. Quelles en étaient les raisons ?
Chaque jour à 13h, l’essentiel de l’actualité tech.
FABRICE NAFTALSKI. Cet arrêt, une première, a eu un fort impact car le Safe Harbor a été le "protocole" de référence pendant quinze ans. Il permettait aux entreprises américaines qui travaillent aussi en Europe de transférer, par exemple, les données de leurs clients aux États-Unis, pour les traiter depuis les États-Unis ou aux États-Unis. Ces échanges sont essentiels pour leur business. En contrepartie, l'entreprise devait auto-certifier tous les ans, ou faire certifier que sa politique de gestion, de stockage, de transfert et d'utilisation des données était conforme aux exigences européennes de protection des données et de respect de la vie privée.
Mais suite aux révélations d'Edward Snowden sur la surveillance de masse des entreprises pratiquée par la NSA, il est apparu que le gouvernement américain avait eu accès à des données de citoyens européens. D'où la remise en question du Safe Harbor. Une série d'actions en justice, qui partent du combat d'un citoyen autrichien, Max Schrems, contre Facebook, a entraîné le 6 octobre dernier l'annulation historique du Safe Harbor par la Cour de justice européenne. Aujourd'hui, il faut donc redéfinir un cadre pour le transfert des données entre l'Europe et les États-Unis, qui soit plus respectueux de la vie privée des ressortissants européens.
Lorsque le Safe Harbor a été invalidé, de nombreuses voix ont agité le spectre d'une paralysie des entreprises. Qu'en est-il vraiment ? Comment les entreprises se sont-elles adaptées à cette décision ?
Cette réaction était exagérée, même si le Safe Harbor concernait 4.500 entreprises. De plus, la fin du Safe Harbor ne signifie pas la fin des échanges de données, car il existe d'autres mécanismes pour encadrer les transferts vers les pays en dehors de l'Union européenne. Ils sont simplement plus contraignants dans la mesure où ils impliquent une autorisation préalable de la CNIL.
En revanche, il est vrai que cette décision est lourde de conséquences, car les entreprises concernées risquent de se retrouver en non-conformité avec la législation européenne si elles ne changent pas rapidement le cadre juridique de leurs transferts de données.
En tant qu'avocat, j'ai observé deux types d'attitudes. Dès le lendemain, certaines entreprises ont pris les devants et ont immédiatement basculé vers les autres mécanismes existants. D'autres ont préféré attendre, en espérant que les négociations menées par le G29 -le groupe des CNIL européennes- aboutiront d'ici au 31 janvier, la date butoir, sur un Safe Harbor 2. Je pense que la majorité des entreprises matures sur le sujet ont déjà migré vers les autres mécanismes.
Quels sont ces autres mécanismes ?
Il faut garder en tête qu'il existe des mécanismes spécifiques uniquement pour les pays considérés comme moins exigeants que l'Union européenne sur la protection des données. Le Safe Harbor en faisait partie et s'appliquait uniquement aux États-Unis.
Les échanges de données vers certains pays sont libres, car la Commission européenne a audité leur législation et vérifié leur compatibilité avec les exigences européennes. Ces pays bénéficient d'une "reconnaissance d'adéquation". En plus des membres de l'UE et de l'Espace économique Européen, les pays concernés sont l'Argentine, le Canada, Israël, l'Uruguay, la Suisse, la Nouvelle-Zélande, les iles Féroé, Guernesey, Jersey, l'ile de Man et l'Andorre.
Pour transférer des données vers les autres pays du monde, il faut donc recourir à des mécanismes spéciaux. La quasi-totalité des entreprises passe par des clauses contractuelles types (CCT). Ce sont des contrats types rédigés par la Commission européenne. Ils obligent l'importateur et l'exportateur des données à se mettre en conformité avec la législation européenne, sous peine de sanctions administratives ou pénales prévues par la loi locale.
L'autre mécanisme est appelé BCR, pour binding corporate rules. Il s'agit d'un code de conduite interne, concernant les transferts entre les différentes entités juridiques d'un même groupe, comme les données RH. Les BCR sont utilisées surtout par les multinationales comme Total, Sanofi, Michelin, Hermès...
Les géants du Net [Google, Apple, Facebook, Amazon, etc., NDLR], en revanche, étaient plutôt sur le Safe Harbor car ils ont surtout besoin de transférer les données de leurs clients et des clients de leurs clients. Depuis octobre, les entreprises se tournent essentiellement vers les clauses contractuelles types.
Quels sont les enjeux et les points de blocage du futur Safe Harbor 2 ?
En théorie, la fin des négociations entre la Commission européenne et les autorités américaines doivent aboutir à un Safe Harbor 2 avant le 31 janvier. Les CNIL européennes, garantes de la protection de la vie privée, ont imposé ce délai. Elles prendront position sur les modifications à apporter aux mécanismes actuels, avec ou sans Safe Harbor 2, lors de leur réunion des 2 et 3 février prochains.
Mais il est peu probable qu'un nouveau texte soit prêt en seulement trois mois. Car il reste un gros point de blocage : les États-Unis veulent avoir accès à certaines données pour des raisons de sécurité. Il faut alors définir à quelques conditions et quelles garanties sont données aux personnes concernées s'agissant du respect de leur vie privée.
Mais les CNIL européennes peuvent-elles se contenter d'un statu quo ?
Non, mais elles ont déjà annoncé qu'en l'absence de solution, elles examineraient la possibilité d'user de leur pouvoir de suspension ou d'interdiction des transferts de données personnelles vers les États-Unis. Le futur règlement européen sur la protection des données (RGPD) devrait renforcer leur pouvoir de sanction jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial pour les plus grosses entreprises, à l'image de ce qui vient d'être voté en France dans le cadre de la loi numérique d'Axelle Lemaire.
À lire également
Le plus probable est que seules quelques mesures émergeront de ces trois mois de négociations. L'une des plus attendues est le recours à un Ombudsman, une sorte de médiateur ou de juge de paix qu'on trouve dans la culture juridique des pays nordiques. Il serait notamment chargé d'apprécier les conditions d'accès de l'administration américaine aux données des citoyens européens. On peut également attendre des mesures pour renforcer l'information des citoyens européens sur ce que deviennent leurs données transférées aux États-Unis. Bref, un compromis en guise de première étape vers un Safe Harbor 2.
Un incident majeur toutes les deux heures : les risques cyber explosent dans la finance européenne
448 TWh d'électricité par an, 4.500 milliards de litres d’eau : les coûts cachés de la révolution de l’IA
Meta recule sur son outil de surveillance des salariés pour entraîner son IA
Bruxelles dévoile son grand plan pour la souveraineté technologique, avec des instruments encore timides
