Frans Timmermans, vice-président de la Commission européenne et la commissaire à la justice Vera Jourová, ont eu la délicate tâche d’animer une conférence de presse après l’arrêt de la CJUE invalidant le Safe Harbor américain.
Ce matin, la CJUE a invalidé l'accord de Safe Harbor dont bénéficiaient les États-unis. Pour mémoire, ce label de confiance avait été attribué par Bruxelles en 2000. C’est lui qui permet depuis, à plus de 4 000 entreprises américaines de butiner les données personnelles des citoyens européens. Seulement, après les révélations Snowden sur l’ampleur de la surveillance aux États-Unis, ce label n’a eu de confiance que le nom. De plus, la Cour de Justice de l’Union a rappelé de long en large l’attitude fautive de la Commission qui dès le départ avait mal évalué l’absence de garantie au profit des citoyens européens dans ces flux, au point d’annuler ce Safe Harbor.
Malgré ce désaveu, les deux représentants de la Commission l’ont assuré lors de leur conférence de presse : « La Cour n’a pas contesté le rôle et la position de la Commission dans cette affaire ». Mieux : « nous analysons cette décision comme une confirmation de l'approche de la Commission européenne pour la renégociation de la Safe Harbour ». Bel aplomb.
Bruxelles fait ici état des négociations nouées depuis 2013 avec nos indiscrets alliés et visant à revoir le cadre de ces transferts. Seulement, l’avocat général à la CJUE avait déjà fusillé une telle argumentation : « Si la Commission a décidé d’entamer des négociations avec les États-Unis, c’est bien que, au préalable, elle a considéré que le niveau de protection assuré par ce pays tiers n’était plus adéquat ».
La Commission espère désormais arriver à conclure ce nouveau cadre d’ici l’été 2016. En attendant, « la priorité est la sécurité des flux et l’application uniforme des droits. »
Éviter une Europe patchwork
Le souci de l’arrêt Schrems, du nom de cet étudiant autrichien qui a mis à terre le Safe Harbor, est qu’il redonne une place de premier plan aux autorités de contrôles des données personnelles. Celles-ci sont désormais en capacité – et c’est même leur devoir – d’ausculter la solidité juridique de ces échanges voire de les contester devant la justice européenne.
L’enfer serait toutefois qu’une approche morcelée entre les États membres génère des cas de forum shopping et donc des décisions non-harmonisées entre les CNIL européennes. Pour y parer, Bruxelles promet d’« éditer des lignes directives claires pour expliquer [à ces autorités] comment appliquer cet arrêt ». L’important est dit et redit : « les citoyens ont besoin de garde-fous, les entreprises, de ligne directrice. Il faut éviter avant tout l’effet patchwork et assurer la prévisibilité ».
Les flux doivent se poursuivre, selon Bruxelles
Dans tous les cas, Frans Timmermans et Věra Jourová l’assurent : « il faut que les flux de données transatlantiques puissent se poursuivre » avec les États-Unis. « Depuis 2013, nous travaillons d’arrache-pied avec les États-Unis pour améliorer la sphère de sécurité et nous allons continuer à progresser à la lecture de l’arrêt de la CJUE. Il faut pouvoir transférer ces données de manière sécurisée. »
La Commission a lourdement insisté sur un des articles de la directive de 1995 sur les données personnelles (le 26) qui permet de transférer des données même dans vers des États ne garantissant pas un niveau de sécurité suffisant. On pourra relire notre panorama sur la question, en rappelant notamment que le consentement du premier intéressé (l’utilisateur européen) permettrait déjà de contourner l’écueil juridique.
Dans les semaines à venir, des réunions importantes vont être organisées avec les autorités de contrôle nationales. « Nous allons mettre au point des explications claires en analysant les incidences concrètes de cette décision ». Pour la Commission, il ne s’agit pas de malmener la décision Schrems, elle n’en a aucune liberté, mais d’amoindrir ses conséquences douloureuses.
Pendant ce temps au Parlement européen...
Au Parlement européen, la Commission sur les libertés civiles estime pour sa part que les échanges de données avec les États-Unis doivent être suspendus et « remplacés par un nouveau et solide encadrement de ces transferts. »
L’eurodéputé Claude Moraes salue particulièrement le sens de la décision de la Cour de justice de l’Union européenne, jugeant le Safe Harbor en totale « inadéquation pour les citoyens européens » qui utilisent les services des entreprises américaines. Ils risquent une « surveillance de masse » sans protection minimale équivalente à celles des citoyens US. La commission Libé sait que la Commission européenne est en discussion avec les États-Unis depuis des mois pour améliorer ce cadre « mais nous n’avons toujours pas reçu la moindre mise à jour sur l’état de ces échanges ». L’eurodéputé appelle donc de ses vœux une solide réforme en conformité avec la Charte des droits fondamentaux et les règles européennes de protection des données personnelles.
Des acteurs privés qui rient
Du côté des entreprises, certaines sourient. D’autres pas. BMC Software, par exemple, a le sourire. Dans un communiqué, cette société américaine spécialisée dans les services et infrastructures américaines, assure que « cette invalidité va impliquer un renforcement du cadre sécuritaire autour de l’importation de données personnelles venues d’Europe de la part des entreprises basées aux États-Unis. »
Désormais, « l’une des seules certifications qui pourront assurer un transfert sécurisé pour les entreprises américaines sont les BCR (Binding Corporate Rules) ». Les BCR sont des codes de conduites, l’une des exceptions de la directive, non remises en cause par la décision de la CJUE. Évidemment, BMC n’est pas peu fière de détenir ce précieux sésame, au milieu d’une liste limitée d’acteur.
Pour Oodrive, un spécialiste du partage et de la collaboration en ligne, la sauvegarde et l’archivage de données, pas de doute : « La Commission européenne aurait dû se poser la question du safe harbor au moment opportun ». « Je ne peux en vouloir aux entreprises américaines qui se sont retrouvées sur un chemin d’or » poursuit Stanislas de Rémur, CEO de cette entreprise française. « Les professionnels du cloud américains, qui n’existaient pas en 2000, s’y sont engouffrés massivement, sans aucun contrôle. D’une bonne idée initiale, nous avons abouti à une utilisation biaisée. Ce safe harbor a finalement été mis en place sans se demander s’il était efficace, adapté à un environnement qui a changé. »
Des acteurs privés qui grimacent
Les entreprises européennes et françaises ont désormais un tremplin pour redorer leur blason en termes de confiance et de souveraineté numérique. Elles doivent cependant faire avec des législations qui jettent elles aussi le discrédit sur leur modèle d’affaire. On pense particulièrement à la loi sur le renseignement et sa petite sœur en gestation, la proposition de loi sur la surveillance internationale. « Les moyens mis en place ici sont sans commune mesure avec ceux de la NSA. Nous avons une vision des données personnelles très différentes de celle des Américains », argumente encore Stanislas de Rémur, qui vante l’existence de la CNIL : « même si celle-ci ne joue pas toujours son rôle, elle peut tout de même édicter certaines règles relevant de sa compétence. »
La grimace est plutôt à rechercher du côté de Digital Europe. Cette imposante association des géants de l’informatique (notamment américains) fait part de sa « déception ». « L’invalidation immédiate de flux de données va causer un préjudice immédiat à l’économie de la donnée en Europe, avec des conséquences négatives à l’égard d’un nombre incalculable de consommateurs, employées et employeurs. Nous avons de graves préoccupations sur les implications au long terme de ce jugement dans les échanges entre l’Europe et le reste du monde ». Digital Europe demande donc instamment à la Commission européenne et aux États-Unis de rectifier le tir.
Même réaction du côté de l’Application Developers Alliance qui parle de « coup dur pour les PME du numérique », regrettant que la décision ne tienne pas compte des négociations en cours entre Bruxelles et les États-Unis. Même son de cloche à la Computer & Communications Industry Association : cette décision va générer « de l’incertitude sur la manière dont les entreprises peuvent mener à bien leur transfert quotidien de données entre l’Europe et le reste du monde. » Elle en appelle donc à la Commission européenne à sécuriser leurs flux de données.
Et du côté des autorités de contrôle ?
Dans un communiqué, le G29, groupement de l’ensemble des autorités de contrôle en Europe (dont la CNIL, en France), s’est félicité que cette décision « réaffirme que les droits de la protection des données sont une partie inhérente dans le régime des droits fondamentaux de l’Union ».
De même, il accueille avec satisfaction la position de la CJUE qui a conclu que la reconnaissance d’un label Safe Harbor ne réduisait en rien les pouvoirs des autorités nationales. Les CNIL européennes sont désormais placées aux avant-postes pour accueillir les plaintes des citoyens européens qui seraient mécontents de tel ou tel transfert vers les États-Unis. Un nouveau front pour la Commission Informatique et Liberté à l’encontre de Google, elle qui s’est surtout préoccupée ces derniers temps de l’extension du droit à l’oubli sur le .com du moteur.
Du côté du politique, enfin, on attendra les réactions plus solides, en notant très rapidement celle d'Axelle Lemaire :
Je salue la décision de #CJUE , en phase avec la position du @gouvernementFR pour une révision de #SafeHarbor
— Axelle Lemaire (@axellelemaire) 6 Octobre 2015
Et du côté de la Quadrature du Net ?
« C'est un jugement historique ! » annonce tout de go l’organisation qui a la défense des droits et libertés numériques comme cheval de bataille. « En reconnaissant que la surveillance exercée par la NSA sur les données personnelles hébergées aux États-Unis portait préjudice aux citoyens européens, la CJUE met en application ce que les organisations de défense des droits et les parlementaires européens appelaient de leurs vœux : les conditions de transfert de données personnelles doivent être revues, à la lumière des législations sur la surveillance et des pratiques qui ont été mises au jour par Edward Snowden ».
Seulement, LQDN se demande justement ce qui va « advenir des entreprises françaises hébergeant des données personnelles de citoyens du monde entier, à partir du moment où la surveillance exercée par les services de renseignement sur les données de connexion et les données personnelles a été reconnue comme une atteinte aux droits fondamentaux ? Que va-t-il advenir des lois sur le renseignement et sur la surveillance internationale dont les dispositions sont gravement attentatoires aux droits et libertés ? »
