Données personnelles : Europe et États-Unis ont trois mois pour colmater la sphère d’insécurité

La secousse tellurique de la remise en cause du Safe Harbor avec les États-Unis n’est pas prête de s’achever. Les CNIL européennes, réunies autour du G29, viennent de laisser trois bons mois à l’Europe et aux États-Unis pour trouver des solutions techniques et juridiques.

L’arrêt du 6 octobre 2015, dit arrêt Schrems, a sonné le glas de la « sphère de sécurité » américaine. Reconnue depuis 2000 par la Commission européenne, elle permettait à des milliers d’entreprises d’aspirer les données personnelles des citoyens européens pour les traiter outre-Atlantique, dans leurs data centers notamment. Seulement, éclairée par Edward Snowden, la CJUE a considéré que le régime de surveillance potentiellement de masse de la NSA était incompatible avec un tel mécanisme, notamment au regard de l’inexistence de droit au recours des principaux concernés. Mieux, la Commission européenne est épinglée pour avoir mal évalué les conditions justifiant un tel label, qui est dès lors invalidé purement et simplement.

Un répit de trois mois, ponctué par des menaces

L’appel d’air provoqué par cet arrêt a remis au premier plan les autorités de contrôle. Les CNIL européennes, réunies sous l’égide du G29, viennent ainsi d’analyser les conséquences de cette décision. Leur communiqué souffle le chaud et le froid : si dès aujourd’hui, tous les transferts opérés sur la base du Safe Harbor « sont illégaux », il est demandé « aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016 ».

En guise de pistes, le G29 leur somme « d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions (...) permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux ». Le bornage est simple : « ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes ». Sous-entendu, sans le respect de ces critères de base, il ne sera pas possible de rouvrir les vannes.

Une brèche fragile dans le ciel du Safe Harbor

Une brèche est déjà ouverte dans le ciel sombre du Safe Harbor. En chœur, ces autorités considèrent en effet que les autres outils de transfert comme les engagements internes et les clauses contractuelles « peuvent encore être utilisés par les entreprises ». Cependant, il n’est pas expliqué en quoi les outils de surveillance américains sont en capacité de respecter ces dispositions de secours (sur ce point, voir cette interview). Faute de mieux, les autorités secouent une faible menace : « la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir. »

Mais que se passera-t-il dans trois mois, faute de solution venant de Bruxelles ? Simple. En fonction « de l’évaluation en cours des outils de transferts par le G29 », la réaction pourra aller jusqu’à « des actions répressives coordonnées ». Avant cela, une grande campagne d’information va être initiée par la CNIL en France, notamment à l’égard des entreprises qui exploitaient le pipeline du Safe Harbor.

Au Parlement européen, au même moment, la commission des libertés civiles a adopté la semaine dernière une résolution où elle profite de la décision Schrems pour dénoncer de « récentes législations adoptées dans plusieurs États membres, qui renforcent les capacités de surveillance des organes de renseignement ». Le communiqué officiel pointe l’index sur le Royaume-Uni et la France, tout particulièrement.