Safe Harbor est mort ! Vive le EU-US Privacy Shield !

Flash info : quel avenir pour vos données hébergées aux Etats Unis ?

La décision de la Cour de Justice Européenne du 6 octobre dernier invalidant le mécanisme Safe Harbor a fait l’effet d’une bombe, laissant les données personnelles européennes transférées et hébergées aux Etats Unis dans une sorte de no man’s land juridique.

Rappelons tout d’abord la genèse de Safe Harbor. Le transfert de données personnelles en dehors des Etats membres de l’EEE est interdit vers les pays qui proposeraient un niveau de sécurité inférieur aux normes européennes (Directive 95/46/CE). Afin que les entreprises américaines puissent se conformer à cette Directive, la Commission Européenne et le Département du Commerce américain avaient élaboré en 2000 un cadre dans lequel les données pouvaient être transférées vers les Etats Unis : le fameux Safe Harbor (Sphère de sécurité). Dans ces conditions, les données européennes étaient réputées être transférées et hébergées en toute sécurité vers les entreprises américaines certifiées Safe Harbor (on compte pas moins de 4000 entreprises américaines certifiées Safe Harbor).

Force est de constater que la notion de sécurité a semblé toute relative à Max Schrems, un jeune ressortissant autrichien utilisateur de Facebook. Ce dernier, étudiant en droit au moment des faits, s’en prend à Facebook au motif que ses données personnelles sont non seulement hébergées aux Etats Unis mais qu’elles ne sont pas protégées comme la règlementation l’exige. Les révélations d’Edward Snowden en 2013 sur le programme de surveillance « Prism » de l’Agence de sécurité nationale américaine le conforteront à saisir la Commission des données personnelles irlandaise (DPC), puis la Cour de justice irlandaise avant d’être, faute de réponse, renvoyé finalement devant la Cour de Justice Européenne (CJUE). Le 6 octobre 2015, la CJUE estimait donc que Safe Harbor « n’assure pas un niveau de protection adéquat » aux européens et que de ce fait, Safe Harbor n’est pas conforme au droit européen.

Toutefois, il est souvent oublié que Safe Harbor n’est pas le seul cadre juridique. Il existe d’autres mécanismes, pouvant être certes considérés comme plus lourds : citons les BCR (Binding Corporate Rules ou règles internes d’entreprise) ou encore les CCT (Clauses Contractuelles Type) mises en place par la CNIL et qui permettent de transférer et maintenir des données personnelles aux Etats Unis selon les exigences européennes.

Suite à cette décision de la CJUE, la Commission Européenne et les Etats Unis n’auront pas tardé à réagir. La Commission Européenne a ainsi annoncé le 2 février un nouvel accord avec les Etats Unis, le « Privacy Shield ». Les compagnies américaines se verront désormais contraintes par des obligations plus fortes quant à la protection des données personnelles en provenance de l’Europe. Le Département du Commerce et la Commission Fédérale du Commerce auront davantage de pouvoir de surveillance en collaboration avec les autorités locales (CNIL, …). Il est également question d’obligations de transparence dans la gestion des demandes d’accès aux données personnelles par le gouvernement américain (ou ses services de renseignement et de police). Différentes voies de recours seront possibles pour les citoyens et des sanctions seraient prévues (comme l’exclusion d’entreprises importatrices de données…).

La Commission Européenne va désormais s’atteler à la rédaction de cet accord avant sa soumission notamment aux représentants des 29 Etats membres. Les Etats Unis vont dans un même temps se mettre en ordre de marche pour intégrer ce nouveau mécanisme. Notons que ce dispositif prendrait en considération les exigences prévues par le Règlement Européen sur les données personnelles (publication officielle attendue en avril 2016, et applicable au printemps 2018).

Attendons la formalisation de ce nouveau « bouclier » déjà controversé avant même sa parution et la publication du Règlement pour y voir (un peu) plus clair dans le monde des données…