Lecture: 7 min
N9505BUL
Citer l'article
Créer un lien vers ce contenu
par Vincent Téchené, Rédacteur en chef de Lexbase Hebdo - édition affaires
le 15 Octobre 2015
Lexbase : Qu'est ce que le "Safe Harbor" ?
Daniel Kadar : Pour comprendre ce qu'est le "Safe Harbor", il faut revenir à certains éléments fondamentaux.
La Directive européenne sur la protection des données personnelles de 1995 (Directive 95/46 du 24 octobre 1995 N° Lexbase : L8240AUQ) a posé comme principe l'interdiction du transfert de données personnelles vers des pays qui n'offrent pas aux titulaires de ces données une protection adéquate. Les Etats-Unis font partie de ces pays.
Cette interdiction de principe peut être levée si l'importateur de données aux Etats-Unis s'engage à avoir un niveau de protection que les européens reconnaissent comme suffisant.
Il a été considéré que le cadre légal permettant ce niveau de protection adéquat pouvait être de trois ordres.
Le premier était constitué par une auto-certification dont le principe a été négocié avec le Département américain du commerce. Cette auto-certification, moyennant une redevance annuelle d'environ 200 dollars, pouvait être souscrite par les entreprises américaines, lesquelles s'engageaient de façon déclaratoire à respecter certains critères. C'était le "Safe Harbor".
Les deux autres cadres légaux sont des cadres contractuels.
On trouve, tout d'abord, les accords de transfert de données (Data transfer agreements) signés de gré à gré entre les différentes organisations et pouvant inclure leurs sous-traitants. Il s'agit d'une contractualisation qui reprend dans leur intégralité des clauses contractuelles-type édictées par l'Union européenne.
Enfin, le troisième moyen, qui est en quelque sorte le nec plus ultra du transfert de données international, sont les BCR (Binding Corporate Rules). Elles reposent sur ces mêmes accords de transferts de données mais auxquels s'ajoute une autorégulation par l'organisation qui les gère, c'est-à-dire un système de surveillance, d'audit et de signalement. Ces BCR désignent en fait un code de conduite qui s'applique dans le cadre du fonctionnement interne de la société. Elles nécessitent, pour être adoptées, d'obtenir au préalable une autorisation de l'autorité de tutelle, par exemple en France de la CNIL. L'autorité de tutelle surveille les règles et donne son aval ; l'organisation les met en place et les gère.
Vous comprenez que le "Safe Harbor" était de loin l'engagement le plus "léger" en terme de conformité...
Lexbase : Pour quelles raisons la CJUE a-t-elle invalidé le "Safe Harbor" ?
Daniel Kadar : Il y a, à mon sens, deux raisons qui ont conduit à cette invalidation par la CJUE.
Depuis un certain temps, le G29 (regroupement des autorités de protection des données personnelles européennes) avait émis un certain nombre de réserves sur le "Safe Harbor". La CNIL, notamment, estimait que 50 % de sociétés se prétendant "Safe Harbor" ne l'étaient pas en réalité -et que, parmi ces 50 %, au moins la moitié n'était pas en conformité avec ce qu'elles déclaraient-. La CNIL et certains de ses homologues européens avaient également attiré l'attention, dans ce contexte, sur les insuffisances du "Safe Harbor" et sur leur volonté de le renégocier. Un vrai climat de défiance régnait donc à l'égard de cet accord.
Le second point est le contexte dans lequel cette invalidation a été prononcée. Le litige est né de la plainte d'un ressortissant autrichien, M. Schrems qui, relevant que les prestataires et notamment les plateformes de type Facebook, transféraient les données fournies sur des serveurs situés sur le territoire des Etats-Unis où elles font l'objet d'un traitement, a déposé une plainte auprès de l'autorité irlandaise de contrôle, considérant qu'au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des Etats-Unis (en particulier la National Security Agency -NSA-), le droit et les pratiques des Etats-Unis n'offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays. Il faisait valoir que des organisations qui agissent sous le parapluie du "Safe Harbor" étaient néanmoins tenues par le Patriot Act de fournir des informations aux autorités américaines. L'autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 2000, la Commission a considéré que, dans le cadre du "Safe Harbor", les Etats-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées.
Saisie d'une question préjudicielle par la High Court of Ireland (Haute cour de justice irlandaise), la CJUE, reprenant -en quelque sorte- le flambeau de la contestation, a estimé que le "Safe Harbor", dans ce cadre très précis du Patriot Act, ne permet pas de protéger les citoyens européens et doit, en conséquence, être invalidé.
Il y a donc une première lecture pragmatique de cet arrêt puisque le "Safe Harbor" était un système contesté, car facilement contournable par des entreprises peu responsables en matière de protection des données personnelles, et une lecture politique dès lors que c'est à l'occasion du scandale de la NSA que ce système dérogatoire se trouve invalidé.
Lexbase : Quelles sont les conséquences immédiates de cette invalidation pour le transfert des données personnelles vers les Etats-Unis ?
Daniel Kadar : L'invalidation du "Safe Harbor" rend celui-ci caduc et pose donc la question du cadre légal dans lequel les transferts des données personnelles peuvent se faire vers les Etats-Unis par les entreprises anciennement certifiées "Safe Harbor" depuis la date de la décision, c'est-à-dire le 6 octobre 2015. La Commission européenne a répondu sur ce point en précisant que cette décision de justice ne vient pas remettre en question les échanges de données avec les Etats-Unis. Il y a donc lieu de les poursuivre mais il convient de rechercher, dans un temps relativement proche, des solutions de remplacement pour palier ces difficultés. Les transferts de données personnelles peuvent, comme on l'a vu, être garantis par d'autres mécanismes. La solution de repli immédiate sera fondée sur un système contractualisé de façon plus ou moins contraignante, soit par le biais des "Data Transfer Agreements", soit des BCR. Ces cadres contractuels reposent sur la reprise à l'identique des clauses contractuelles type édictées par l'Union européenne. Ces clauses sont de deux sortes : celles qui encadrent les transferts de données personnelles de responsables de traitement de données à responsable de traitement de données et celles qui encadrent les transferts de données personnelles entre un responsable de traitement de données et un sous-traitant de données.
Les accords de transfert de données restent privés. Ils empêchent, dès lors, d'avoir l'assurance que des transferts qui ont lieu dans le cadre du Patriot Act puissent être évités. Ces accords de gré à gré ne sont pas la panacée et soulèvent, eux aussi, nombre d'interrogations. Davantage de sécurité devrait être permise avec les BCR, mais leur adoption -soumise à autorisation de l'autorité de régulation- prend beaucoup de temps : la CNIL indique que le délai est de neuf mois, en pratique il faut toujours compter plus.
Lexbase : A plus long terme, peut-on envisager qu'un nouvel accord soit négocié avec les Etats-Unis ?
Daniel Kadar : C'est en effet l'une des pistes. Jusqu'à maintenant les américains avaient poliment "botté en touche" en manifestant leur peu d'intérêt à voir le "Safe Harbor" renégocié. Il n'est pas à exclure que cet arrêt de la CJUE leur fasse reconsidérer leur position sur le sujet. Mais cette option est une solution a long terme puisqu'elle ne se fera qu'au prix d'âpres négociations entres les autorités américaines et européennes.
D'ici là, de nombreuses organisations vont être contraintes de contractualiser leurs relations.
Lexbase : Cette décision de la CJUE va-t-elle dans le même sens que le projet de Règlement européen sur la protection des données. Peut-elle influencer les discussions en cours ?
Daniel Kadar : Il faut surtout noter que cette décision est sans doute la plus importante de la décennie en la matière.
Tout d'abord, relevons que la réglementation, telle qu'elle est discutée aujourd'hui et qui a dû faire face à de nombreuses réticences, notamment britanniques, se base beaucoup plus sur les Binding Corporate Rules et sur la notion de "accountability", mal traduite en français par le terme de responsabilité. Il s'agit, en quelque de sorte, de donner aux entreprises la responsabilité de la gestion de la protection des données personnelles, celles-ci devenant ainsi redevables de cette protection à l'égard de leurs salariés, de leurs clients, de leurs fournisseurs, etc.. Il est évident que la direction que prennent les choses n'est pas celle d'une auto-certification. Il s'agit, au contraire, de rendre les sociétés "vertueuses" en les contraignant à intégrer elles-mêmes cette notion de protection de la vie privée dans leurs process de traitement des données. Le "Safe Harbor" n'était donc pas en adéquation avec ce mouvement.
Par ailleurs, la CJUE s'est transformée, à l'évidence, en bras armé des CNIL européennes les plus soucieuses de la protection des données personnelles en faisant ce qu'aucune n'avait osé faire jusque-là : faire "exploser" ce cadre.
Enfin, compte tenu de cette décision, qui consacre une certaine conception de la protection des données personnelles, on peut s'attendre à ce que les grands défenseurs d'une protection accrue des données personnelles s'estiment confortés dans leur combat.
A titre d'exemple, le projet de Règlement européen prévoyait que les organisations qui ne respecteraient pas leurs obligations en matière de protection des données personnelles pourraient être condamnées à une amende pouvant aller jusqu'à 5 % de leur chiffre d'affaires mondial, ce qui, pour les acteurs multimédia internationaux, représenterait des sommes considérables. Dans les dernières versions du projet de Règlement européen, cette amende a été diminuée de 5 % à 2 %. La réaffirmation par la CJUE de l'importance de la protection de la vie privée va-t-elle entraîner un renforcement des règles en la matière ? La question reste aujourd'hui entière... Il est encore trop tôt pour y répondre.
De façon générale, cette décision est symptomatique de la profonde différence d'appréhension existant entre les Etats-Unis et l'Europe sur les données personnelles. Outre-Atlantique, la notion même de data protection (et non de personal data protection) montre que la protection porte sur les données elles-mêmes et la sécurité de celles-ci. La source de contentieux la plus importante en la matière aux Etats-Unis reste le piratage de serveurs et des données qu'ils contiennent. Ce qui est au centre des préoccupations, c'est donc la sécurité des données et non l'atteinte à la vie privée des personnes dont les données ont été rendues publiques.
En Europe, au contraire, la réglementation sur les données personnelles a pour objectif principal la protection de la vie privée.
Cette décision est donc la réaffirmation très forte de la différence de point de vue, d'analyse mais aussi de philosophie qui existe entre l'Europe et le monde anglo-saxon en matière de protection des données personnelles.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:449505