Hier, au Forum international sur la cybersécurité de Lille, Isabelle Falque-Pierrotin, présidente de la CNIL, a donné le calendrier sur les suites attendues après l’annulation du Safe Harbor en Europe.
Depuis 2000, le Safe Harbor est un dispositif qui permettait aux entreprises basées aux États-Unis d’y rapatrier les données personnelles butinées en Europe. Seulement, une procédure initiée par Maximilien Schrems, étudiant autrichien, a fait l’effet d’une bombe.
Ce David s’était élevé contre deux Goliath, Facebook et le Commissaire à la protection des données irlandais, en demandant vainement à ce dernier de mener à bien une enquête sur le sort de ses données outre-Atlantique. Bien lui en a pris : suite aux révélations Snowden, la CJUE a par la suite asséné ce que la Commission européenne avait elle-même constatée, sans sourciller : les États-Unis n’offrent plus le niveau de garantie qu’avait cru déceler Bruxelles en 2000, puisque les services du renseignement américain disposent d’un large accès aux données stockées et traitées localement. Elle annulait alors ce fameux Safe Harbor ouvrant la voie à de multiples questionnements sur le terrain des droits mais également de l’économie numérique.
D'une part, la Commission européenne a incité les acteurs du numérique à user de moyens alternatifs au Safe Harbor. Le droit européen autorise par exemple les clauses contractuelles standards ou les règles internes contraignantes. De son côté, le groupe des autorités de contrôle en Europe, réunies au sein du G29, a laissé jusqu’à fin janvier aux différents négociateurs le soin de trouver une solution pour atteindre le niveau de protection espéré de la CJUE.
Pas d'accord en vue pour un Safe Harbor 2
Mardi, à Lille, lors d’une conférence plénière organisée au sein du FIC, Isabelle Falque-Pierrotin a indiqué d'autre part que le G29 se réunirait début février pour savoir ce qu’il adviendra de l’annulation du Safe Harbor. Si la présidente de la CNIL a été discrète sur le sujet, plusieurs pistes se dégagent selon nos sources. Les clauses types et les Binding Corporate Rules (ou BCR), à savoir les codes de conduite internes aux entreprises, pourraient ne pas perdurer, sans doute parce qu’elles ne rabotent en rien la curiosité des services américains. Au-delà des autorisations individuelles, la seule issue disponible pour les acteurs du Web resterait finalement les décisions d’adéquation. Avec elle, dans un État déterminé, une autorité de contrôle devrait ainsi mener une analyse approfondie des lois nationales du pays tiers pour autoriser ou interdire le transfert.
Bien entendu, une telle position pourrait être jugée inutile si les États-Unis et l’Europe parvenaient finalement à un accord sur un hypothétique Safe Harbor 2. Sur le terrain politique, cependant, cette réalité n'est qu’un rêve encore trop lointain. Toujours au FIC, David Martinon, représentant spécial de la France pour les négociations internationales sur la société de l'information et l'économie numérique, a pointé aujourd’hui encore l’absence d’accord entre les différents pays européens sur ce dossier.
