Frans Timmermans, vice-président de la Commission européenne et la commissaire à la justice Vera Jourová, ont eu la délicate tâche d’animer une conférence de presse après l’arrêt de la CJUE invalidant le Safe Harbor américain.
Ce matin, la CJUE a invalidé l'accord de Safe Harbor dont bénéficiaient les États-unis. Pour mémoire, ce label de confiance avait été attribué par Bruxelles en 2000. C’est lui qui permet depuis, à plus de 4 000 entreprises américaines de butiner les données personnelles des citoyens européens. Seulement, après les révélations Snowden sur l’ampleur de la surveillance aux États-Unis, ce label n’a eu de confiance que le nom. De plus, la Cour de Justice de l’Union a rappelé de long en large l’attitude fautive de la Commission qui dès le départ avait mal évalué l’absence de garantie au profit des citoyens européens dans ces flux, au point d’annuler ce Safe Harbor.
Malgré ce désaveu, les deux représentants de la Commission l’ont assuré lors de leur conférence de presse : « La Cour n’a pas contesté le rôle et la position de la Commission dans cette affaire ». Mieux : « nous analysons cette décision comme une confirmation de l'approche de la Commission européenne pour la renégociation de la Safe Harbour ». Bel aplomb.
Bruxelles fait ici état des négociations nouées depuis 2013 avec nos indiscrets alliés et visant à revoir le cadre de ces transferts. Seulement, l’avocat général à la CJUE avait déjà fusillé une telle argumentation : « Si la Commission a décidé d’entamer des négociations avec les États-Unis, c’est bien que, au préalable, elle a considéré que le niveau de protection assuré par ce pays tiers n’était plus adéquat ».
La Commission espère désormais arriver à conclure ce nouveau cadre d’ici l’été 2016. En attendant, « la priorité est la sécurité des flux et l’application uniforme des droits. »
Éviter une Europe patchwork
Le souci de l’arrêt Schrems, du nom de cet étudiant autrichien qui a mis à terre le Safe Harbor, est qu’il redonne une place de premier plan aux autorités de contrôles des données personnelles. Celles-ci sont désormais en capacité – et c’est même leur devoir – d’ausculter la solidité juridique de ces échanges voire de les contester devant la justice européenne.
L’enfer serait toutefois qu’une approche morcelée entre les États membres génère des cas de forum shopping et donc des décisions non-harmonisées entre les CNIL européennes. Pour y parer, Bruxelles promet d’« éditer des lignes directives claires pour expliquer [à ces autorités] comment appliquer cet arrêt ». L’important est dit et redit : « les citoyens ont besoin de garde-fous, les entreprises, de ligne directrice. Il faut éviter avant tout l’effet patchwork et assurer la prévisibilité ».
Les flux doivent se poursuivre, selon Bruxelles
Dans tous les cas, Frans Timmermans et Věra Jourová l’assurent : « il faut que les flux de données transatlantiques puissent se poursuivre » avec les États-Unis. « Depuis 2013, nous travaillons d’arrache-pied avec les États-Unis pour améliorer la sphère de sécurité et nous allons continuer à progresser à la lecture de l’arrêt de la CJUE. Il faut pouvoir transférer ces données de manière sécurisée. »
La Commission a lourdement insisté sur un des articles de la directive de 1995 sur les données personnelles (le 26) qui permet de transférer des données même dans vers des États ne garantissant pas un niveau de sécurité suffisant. On pourra relire notre panorama sur la question, en rappelant notamment que le consentement du premier intéressé (l’utilisateur européen) permettrait déjà de contourner l’écueil juridique.
Dans les semaines à venir, des réunions importantes vont être organisées avec les autorités de contrôle nationales. « Nous allons mettre au point des explications claires en analysant les incidences concrètes de cette décision ». Pour la Commission, il ne s’agit pas de malmener la décision Schrems, elle n’en a aucune liberté, mais d’amoindrir ses conséquences douloureuses.
Pendant ce temps au Parlement européen...
Au Parlement européen, la Commission sur les libertés civiles estime pour sa part que les échanges de données avec les États-Unis doivent être suspendus et « remplacés par un nouveau et solide encadrement de ces transferts. »
L’eurodéputé Claude Moraes salue particulièrement le sens de la décision de la Cour de justice de l’Union européenne, jugeant le Safe Harbor en totale « inadéquation pour les citoyens européens » qui utilisent les services des entreprises américaines. Ils risquent une « surveillance de masse » sans protection minimale équivalente à celles des citoyens US. La commission Libé sait que la Commission européenne est en discussion avec les États-Unis depuis des mois pour améliorer ce cadre « mais nous n’avons toujours pas reçu la moindre mise à jour sur l’état de ces échanges ». L’eurodéputé appelle donc de ses vœux une solide réforme en conformité avec la Charte des droits fondamentaux et les règles européennes de protection des données personnelles.
Des acteurs privés qui rient
Du côté des entreprises, certaines sourient. D’autres pas. BMC Software, par exemple, a le sourire. Dans un communiqué, cette société américaine spécialisée dans les services et infrastructures américaines, assure que « cette invalidité va impliquer un renforcement du cadre sécuritaire autour de l’importation de données personnelles venues d’Europe de la part des entreprises basées aux États-Unis. »
Désormais, « l’une des seules certifications qui pourront assurer un transfert sécurisé pour les entreprises américaines sont les BCR (Binding Corporate Rules) ». Les BCR sont des codes de conduites, l’une des exceptions de la directive, non remises en cause par la décision de la CJUE. Évidemment, BMC n’est pas peu fière de détenir ce précieux sésame, au milieu d’une liste limitée d’acteur.
Pour Oodrive, un spécialiste du partage et de la collaboration en ligne, la sauvegarde et l’archivage de données, pas de doute : « La Commission européenne aurait dû se poser la question du safe harbor au moment opportun ». « Je ne peux en vouloir aux entreprises américaines qui se sont retrouvées sur un chemin d’or » poursuit Stanislas de Rémur, CEO de cette entreprise française. « Les professionnels du cloud américains, qui n’existaient pas en 2000, s’y sont engouffrés massivement, sans aucun contrôle. D’une bonne idée initiale, nous avons abouti à une utilisation biaisée. Ce safe harbor a finalement été mis en place sans se demander s’il était efficace, adapté à un environnement qui a changé. »
Des acteurs privés qui grimacent
Les entreprises européennes et françaises ont désormais un tremplin pour redorer leur blason en termes de confiance et de souveraineté numérique. Elles doivent cependant faire avec des législations qui jettent elles aussi le discrédit sur leur modèle d’affaire. On pense particulièrement à la loi sur le renseignement et sa petite sœur en gestation, la proposition de loi sur la surveillance internationale. « Les moyens mis en place ici sont sans commune mesure avec ceux de la NSA. Nous avons une vision des données personnelles très différentes de celle des Américains », argumente encore Stanislas de Rémur, qui vante l’existence de la CNIL : « même si celle-ci ne joue pas toujours son rôle, elle peut tout de même édicter certaines règles relevant de sa compétence. »
La grimace est plutôt à rechercher du côté de Digital Europe. Cette imposante association des géants de l’informatique (notamment américains) fait part de sa « déception ». « L’invalidation immédiate de flux de données va causer un préjudice immédiat à l’économie de la donnée en Europe, avec des conséquences négatives à l’égard d’un nombre incalculable de consommateurs, employées et employeurs. Nous avons de graves préoccupations sur les implications au long terme de ce jugement dans les échanges entre l’Europe et le reste du monde ». Digital Europe demande donc instamment à la Commission européenne et aux États-Unis de rectifier le tir.
Même réaction du côté de l’Application Developers Alliance qui parle de « coup dur pour les PME du numérique », regrettant que la décision ne tienne pas compte des négociations en cours entre Bruxelles et les États-Unis. Même son de cloche à la Computer & Communications Industry Association : cette décision va générer « de l’incertitude sur la manière dont les entreprises peuvent mener à bien leur transfert quotidien de données entre l’Europe et le reste du monde. » Elle en appelle donc à la Commission européenne à sécuriser leurs flux de données.
Et du côté des autorités de contrôle ?
Dans un communiqué, le G29, groupement de l’ensemble des autorités de contrôle en Europe (dont la CNIL, en France), s’est félicité que cette décision « réaffirme que les droits de la protection des données sont une partie inhérente dans le régime des droits fondamentaux de l’Union ».
De même, il accueille avec satisfaction la position de la CJUE qui a conclu que la reconnaissance d’un label Safe Harbor ne réduisait en rien les pouvoirs des autorités nationales. Les CNIL européennes sont désormais placées aux avant-postes pour accueillir les plaintes des citoyens européens qui seraient mécontents de tel ou tel transfert vers les États-Unis. Un nouveau front pour la Commission Informatique et Liberté à l’encontre de Google, elle qui s’est surtout préoccupée ces derniers temps de l’extension du droit à l’oubli sur le .com du moteur.
Du côté du politique, enfin, on attendra les réactions plus solides, en notant très rapidement celle d'Axelle Lemaire :
Je salue la décision de #CJUE , en phase avec la position du @gouvernementFR pour une révision de #SafeHarbor
— Axelle Lemaire (@axellelemaire) 6 Octobre 2015
Et du côté de la Quadrature du Net ?
« C'est un jugement historique ! » annonce tout de go l’organisation qui a la défense des droits et libertés numériques comme cheval de bataille. « En reconnaissant que la surveillance exercée par la NSA sur les données personnelles hébergées aux États-Unis portait préjudice aux citoyens européens, la CJUE met en application ce que les organisations de défense des droits et les parlementaires européens appelaient de leurs vœux : les conditions de transfert de données personnelles doivent être revues, à la lumière des législations sur la surveillance et des pratiques qui ont été mises au jour par Edward Snowden ».
Seulement, LQDN se demande justement ce qui va « advenir des entreprises françaises hébergeant des données personnelles de citoyens du monde entier, à partir du moment où la surveillance exercée par les services de renseignement sur les données de connexion et les données personnelles a été reconnue comme une atteinte aux droits fondamentaux ? Que va-t-il advenir des lois sur le renseignement et sur la surveillance internationale dont les dispositions sont gravement attentatoires aux droits et libertés ? »
Commentaires (39)
#1
Pffff…
#2
#3
Par contre, vu que nos données sont la principale source de revenus, doit on craindre des blocages des acteurs privée et une mise sous clé de nos données (qui sont de facto les leurs quand on lit les CGU) , en guise de pression?
#4
En espérant qu’ils refassent un truc vite fait quand même, parce que :
Un rapport de 2013 indique ainsi qu’une interruption des flux de données transfrontaliers pourrait réduire le PIB de l’UE jusqu’à 1,3 % et que les exportations de services de l’UE vers les États-Unis pourraient baisser de 6,7 % en raison de la perte de compétitivité.
#5
De l’avis de la commission, pas entièrement du parlement européen ? (affaires à suivre donc ?)
" />
Quel nid de serpents !
#6
#7
Après, ils s’étonnent qu’il y a tant de nouveaux terroristes grincheux
#8
Après, des pertes ne sembleraient pas impossibles, mais de là à les quantifier précisément… (Et il ne faut pas oublier les gains au niveau de la protection des données).
#9
Il a quelque temps Belgacom a été piraté (on a cité NSA) et aujourd’hui comme par hasard (alors que l’état belge est actionnaire) , on parle de plus en plus de privatisation (étrange)
#10
Mais est donc le protectionnisme d’état ? (en laissant de puissant lobying s’accaparer d’une société qui est l ‘outil principal de l’état belge)
#11
J’ai l’impression qu’il y a un problème de temporalité. La CJUE et le parlement européen poussent dans le bon sens mais vont très lentement. Les CNIL poussent aussi dans le bon sens et sont un peu plus rapides. En comparaison, la commission semble aller beaucoup plus vite et pousser dans le sens inverse.
C’est juste une impression, mais comme disait tonton, sur et certain qu’ils nous prennent pour des cons.
#12
+10
Les lobyings influenceraient-ils les commissions (c’est à se demander ?) ??????
#13
D’ailleurs : “la Cour de Justice de l’Union a rappelé de long en large l’attitude fautive de la Commission”. Mais pas de sanction?
#14
#15
Je ne dis pas qu’il ne faut rien faire pour la protection des données, pas la peine d’être manichéens à ce point.
“pas impossibles” ? si on gêne les transactions commerciales, évidemment qu’il y a des pertes. C’est effectivement comme TAFTA : le traité en lui-emême est perfectible, mais le principe de favoriser les échanges créera évidemment plus de la richesse. Il est d’ailleurs regrettable que nombre d’opposants, plutôt que de faire des propositions constructives, préfèrent nier l’indéniable et prétendre que le commerce ne créée pas de richesse. A l’instar du philoxera je suppose, vu le style lapidaire.
#16
J’évite d’être Bisounours, mais qui pourrait être avantagé, sûrement des sous-traitants américains, qui pillent la clientèle des commerçants autochtones (par leurs succursales)
#17
ça fait un paquet de temps qu’on est au top niveau création de richesse (entendu à l’échelle globale). Le problème actuel c’est plus la juste distribution de cette dernière. Et une couche de libre échange en plus à une échelle encore plus vaste, c’est pas le genre de décision qui redistribue la richesse.
#18
Ma dernière com n’a pas mis à qui je répondais ? (bizarre)
#19
[quote=“Bruxelles”]
L’important est dit et redit : « les citoyens ont besoin de garde-fous
[/quote]
Merci du qualificatif… vous pouvez donc démissionner pour avoir failli à ça.
#20
La nature ayant horreur du vide, je leur fait confiance pour passer par la fenêtre quand on les met dehors par la porte (par “ils”, j’entends les géants américains et leurs alliés de la Commission qui ne représentent qu’eux-même).
#21
Joncker veut que le transit de données continue, se fout-il de l’avis de la CJUE ? (c’est ce j’ai lu ailleurs et semble en contradiction, non ? )
#22
On va me prendre pour un parano, Mais NextINpact l’a signalé avant moi (jouerait-il à supprimer l’info ?)
#23
(… l’info de supprimer l’interruption des transits vers l’oncle Sam ?)
#24
« nous analysons cette décision comme une confirmation de
l’approche de la Commission européenne pour la renégociation de la Safe
Harbour ». Bel aplomb.
Novlang Inside
Ils se foutent de la vie privée des citoyens européens, seules les commerciaux comptent
#25
#26
Chercher à renégocier est un aveu de faiblesse alors que la CJUE, elle a tranché en faveur de Shrems qui se bat seul depuis longtemps
#27
Quand Libération dit que la CJUE “tente” de protéger les citoyens de l’oreille des USA, “tenter” paraît à une espérance comme si l’agence en doutait
" />
#28
sinon, tu veux pas prendre 5 minutes pour réfléchir et faire UN message ?
parce que la 4 messages d’affilé, c’est pas très agréable à lire
en plus, tes messages sont incompréhensibles… (en tout cas moi j’ai rien compris)
voila désolé, mais c’est agaçant.
#29
#30
C’est fou que les Américains prennent les données privées des gens comme quelque chose de vitale, ils se foutent vraiment de la vie privée, c’est honteux.
#31
Combien de temps encore allons nous nous comporter comme des limaces? Les mecs ne prennent même plus la peine d’envoyer un ambassadeur pour nous adresser des menaces, c’est directement les lobbyistes de grosses entreprises qui se chargent de nous menacer au nom des Etats Unis.
Je rêve ou il n’y a que moi que ça choque?
A quand des dirigeants avec une paire de couilles? Putain mais envoyez les chier, sérieusement!
#32
Entre la Commission et le Conseil, carrément vendus au gros lobbies financiers et industriels, le Parlement, complètement impuissant et généralement apathique, ça fait quand même du bien de voir que les magistrats de la CJUE présentent une institution européenne finalement respectable du point de vue du citoyen…
Personnellement je n’en attendais pas moins de la part de la Commission, dont les membres pourraient tout aussi bien porter pour l’occasion un badge GAFA épinglé au revers de la veste : “Tout va bien brave gens, rendormez-vous.” On se doute bien qu’il ne peut rien en sortir de bon.
#33
La perte de compétitivité risque plutôt d’être coté ricains, s’ils n’ont plus libre accès aux données des entreprises européennes il va falloir qu’ils se sortent les doigts au lieu de se reposer sur l’espionnage industriel.
#34
Un excellent reportage de Cach investigation hier soir sur F2 sur le marqueting et les données perso .
Apple Appoil Apple Appoil Apple Appoil !
C’est sûr que ça va moins bien se vendre quand ça sera plus aux opérateurs français et leurs clients de payer pour leurs campagnes de pub .
Et que dire de cette close qui interdit , sur une période de deux ans , de proposer un téléphone concurrent à un client Apple , c’est scandaleux .
#35
#36
“Digital Europe”
" />
Au moins eux ne se cachent pas pour leurs penchants envers la proctologie…
#37
Si c’était le cas, la France seraot l’un des pays avec le moins de pauvres du monde, vu que c’est le pays champion de la redistribution. Manque de bol, c’est exactement l’inverse: la France est devenu l’un des pires pays du monde développé pour les pauvres. Non seulement leur niveau de vie est plus bas, mais surtout ils n’ont aucun espoir de sortir de leur condition.
Y’a un moment où il faudra bien finir par laisser tomber les vieilles lunes marxistes, après des décennies d’échec, non ? Par exemple en comprenant que la richesse qui se distribue, c’est celle qui se créée, pas celle qu’on vole à autrui…
#38
Un des pires? Allons, une petite pensée pour le contrat zéro heure d’angleterre… C’est un sujet clivant un peu loin de l’article. <mylife>A ce propos, j’avais bien aimé une des vidéos de ce dimanche http://www.dailymotion.com/video/x384v47 </mylife>
#39
Ce qu’il faut regarder, ce n’est pas le moyen mais le résultat. Or, en terme de résultats, un pauvre en France restera pauvre toute sa vie, plus que dans n’importe quel autre pays développé. C’est ce fameux ascenseur social, qui est depuis longtemps cassé. Du coup, quel est l’intérêt de se vanter d’avoir des contrats protecteurs si ces mêmes contrats excluent une partie de la population du marché du travail et les empêchent donc de se forger un avenir ?
C’est là le malheur du système français: on ne regarde jamais, absolument jamais les inconvénients des mesures décrétées. Là où des pays plus pragmatiques comparent avantages et inconvénients, essaient de moduler pour maximiser les premiers en minimisant les seconds (ex: “smic” allemand), en France on décide qu’une chose est 100% bonne ou mauvaise et on l’applique sans réfléchir.
Le salaire à vie c’est un peu pareil: ça a un tas d’inconvénients qui mettent en danger les avantages (notamment en empêchant la création d’une partie de la richesse censée être distribuée). Sur ce sujet je trouve d’ailleurs amusant que nombre de ceux qui le prônent sont pourtant de ceux qui dénoncent les rentes et leurs effets négatifs… et proposent pourtant ce qui n’est rien d’autre qu’une “rente universelle” sans en étudier les effets négatifs. ^^
Sinon, sur l’échange de données personnelles, n’oublions tout de même pas que c’est devenu l’une des grosses “richesses” du web. Le big data, c’est bien ça qui finance les entreprises aux services d’apparence gratuite. Comme je le précisais plus tôt, je ne râle pas forcément contre la coupure de l’accord (c’est parfois bien de remettre les choses en cause pour équilibrer les rapports de force notamment), mais n’imaginons pas que ça sera forcément parfait ou sans aucun inconvénient.