[Info] Safe Harbor : La cour de justice européenne invalide l’accord.

4783685_6_ae97_quelles-sont-les-consequences-de_b75a64c65f5a67e678ee1835b6f8884e.jpg

En quoi consiste Safe Harbor et que dit la Cour de justice de l’Union européenne (CJUE) ?

En Français « sphère de sécurité », le « Safe Harbor » est une décision de la Commission européenne, datant de 2000, qui affirme que le transfert de données personnelles d’Europe vers les Etats-Unis est possible car ce pays présente des garanties suffisantes pour la protection de la vie privée.

Très controversé, cet accord a notamment été mis à mal par les révélations d’Edward Snowden, en 2013, sur les programmes de surveillance de masse de la NSA. Les adversaires du Safe Harbor, dont Max Schrems, un Autrichien qui a déposé plusieurs plaintes contre Facebook, estimaient que ces révélations montraient que les données personnelles des Européens n’étaient en fait pas protégées lorsqu’elles étaient stockées aux Etats-Unis.

Dans son arrêt rendu mardi, la CJUE estime que le Safe Harbor n’est pas conforme au droit européen, pour plusieurs raisons détaillées sur une trentaine de pages. La Cour a notamment estimé que les recours possibles pour les citoyens européens estimant leurs droits malmenés étaient beaucoup trop faibles. Elle juge également que les programmes de surveillance de masse des Etats-Unis sont incompatibles avec une protection adéquate des droits des citoyens européens.

Cela veut-il dire que Facebook ne peut plus fonctionner en Europe, ou va devoir stocker les données des citoyens européens en Europe ?

Non : l’arrêt invalide un accord très générique. Facebook peut continuer à fonctionner comme il le faisait jusqu’à aujourd’hui, mais l’entreprise – tout comme Google ou tout autre entreprise qui stocke des données de citoyens européens aux Etats-Unis – ne peut plus s’abriter, en cas de procédure, derrière le fait qu’elle fait partie du Safe Harbor et que ses flux de données entre l’Europe et l’Amérique sont présumés légaux.

Facebook affirme en fait ne pas s’appuyer uniquement sur le Safe Harbor, mais « sur d’autres méthodes recommandées par l’Union européenne pour transférer légalement des données de l’Europe vers les Etats-Unis ».

Il existe en effet d’autres normes de transfert de données, comme par exemple les « clauses contractuelles type »  ou les « règles internes d’entreprise »  (dans le cas de transfert de données entre filiales), le Safe Harbor étant le cadre juridique simplifié et « par défaut ». Certaines entreprises du numérique utilisent déjà ces cadres juridiques alternatifs.

La Commission craint d’ailleurs que la décision de la CJUE ne favorise la multiplication de contrats spécifiques établis entre des entreprises et des pays européens, au détriment d’un cadre générique européen.

Par ailleurs, sans aller jusqu’à ces procédures juridiques, la loi européenne – plus spécifiquement l’article 26 de la directive de 1995 sur la protection des données personnelles – prévoit qu’un transfert vers un pays tiers peut être autorisé dans plusieurs cas. Par exemple, pour assurer la bonne exécution du contrat commercial (dans le cas d’une réservation d’hôtel par exemple, où les coordonnées du client sont nécessaires) ou lorsque intervient le consentement explicite de l’internaute à ce que ses données soient transférées.

Quelles seront les conséquences plus larges de cette décision ?

Si l’arrêt de la CJUE ne porte que sur le Safe Harbor, il dénonce avec des mots très durs les programmes de surveillance de masse de la NSA américaine, présentés comme incompatibles avec les droits fondamentaux garantis par le droit européen.

Le jugement pourrait aussi influencer deux dossiers européens brûlants dont les négociations arrivent dans leur dernière ligne droite : l’accord « parapluie » sur l’échange de données personnelles pour la coopération policière, entre Europe et Etats-Unis, et le projet de règlement sur les données personnelles.

La commissaire européenne à la justice, Vera Jourova, a indiqué que l’arrêt de la Cour confortait la position de la Commission, notamment sur la nécessité d’avoir « des garde-fous solides » en matière de protection des données.

Source: Le monde