Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Le Safe Harbor invalidé par l'Europe, il faut repenser l'export de données vers les Etats-Unis

Suite à la plainte de Maximilien Schrems auprès de la CNIL irlandaise, contre le transfert de ses données par Facebook aux USA, la Cour européenne de justice a invalidé le dispositif Safe Harbor qui était censé garantir la sécurité de telles opérations. Conséquence : les entreprises, GAFA en tête, vont devoir trouver de nouvelles dispositions.
Twitter Facebook Linkedin Flipboard Email
×

Le Safe Harbor invalidé par l'Europe, il faut repenser l'export de données vers les Etats-Unis
Le Safe Harbor invalidé par l'Europe, il faut repenser l'export de données vers les Etats-Unis

La Cour de justice de l’Union européenne (CJUE) vient de rendre son très attendu verdict dans l’affaire qui opposait le jeune juriste autrichien, Maximilien Schrems au géant américain Facebook. Et celui-ci invalide tout simplement une décision du 26 juillet 2000 connue sous le nom de "Safe harbor". Ce dernier autorisait tout transfert de données à des fins commerciales entre l’Europe et les USA, s’appuyant sur le postulat que les USA constituent un "safe harbor" justement, un espace suffisamment sécurisé, pour ne pas causer d’inquiétude quant aux données exportées.

 

Le dispositif avait été invoqué par la Commission face à Maximilien Schrems, qui reprochait à Facebook de transférer ses données vers les Etats-Unis, les exposant à la surveillance de la NSA. Il avait pour cela directement interpellé l’organisme irlandais homologue de la CNIL, car le siège européen du réseau social se trouve à Dublin.

 

Des conséquences hors du secteur numérique

Comme le signalait le plaignant le 22 septembre dernier, dans un entretien avec L’Usine Digitale, avec une telle invalidation, "Google, Microsoft, Facebook, Yahoo...  ne pourraient plus transférer les données vers leurs data centers aux Etats-Unis, ce qui porterait un sérieux coup à leur business model." Facebook a d’ailleurs réagi, jugeant "impératif" que les Etats-Unis et l'Union trouvent une solution pour garantir des "méthodes fiables de transferts légaux de données", après une décision de la justice européenne invalidant le cadre juridique existant.


La décision de la CJUE a des conséquences évidentes pour les Gafa, les entreprises du numérique, mais aussi plus globalement toutes les entreprises qui ont des liens avec les USA. Au-delà du seul cas Facebook, ce que le verdict de la CJUE remet en cause, c’est la décision 2000 de permettre des transferts entre l’UE et les USA sous simple couvert du SafeHarbour. "N’importe quelle entreprise, filiale d’un groupe américain, qui souhaite aujourd’hui procéder à de tels transferts pour présenter une gestion centralisée de la paye, par exemple, ne peut plus se baser uniquement sur le safeharbor", précise Annabelle Richard, avocate à la cour, cabinet Pinsent Masons.

 

Vers un Safe Harbor 2 ?

Annabelle Richard, rappelle néanmoins que la décision prise par la CJUE le 6 octobre, n’est pas une surprise. L’invalidation du Safe Harbor était en particulier attendue depuis l’affaire Snowden. "Dans l’ère post-Snowden, on sait ce qu’il est possible de faire, et ce qui a été fait. On sait comment les technologies sont réellement utilisées." Comme elle le note, "la Cour fonde largement sa décision sur le fait que les principes de protection du Safe Harbor s'effacent devant les nombreuses exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des Etats Unis. Ainsi, la sphère de sécurité créée par le Safe Harbor paraît bien trop perméable".

 

Certaines entreprises ont eu le temps de voir venir la fin du safeharbor et auraient déjà préparé des dispositifs plus exigeants. "Un Safe Harbor 2 pourrait également voir le jour", ajoute l’avocate. 

 

La balle dans le camp de Dublin

Annabelle Richard rappelle aussi que "cette décision s’inscrit dans le cadre d’un dialogue avec la juridiction irlandaise, saisie par Maximilien Schrems".  Le Safe harbor invalidé, l’Irlande devra se prononcer sur les mesures concrètement mises en place par Facebook pour transférer les données entre UE et USA. Dublin pourrait ainsi considérer que, au-delà du Safe Harbor, les dispositifs mis en place par Facebook pour garantir la sécurité des données sont satisfaisants.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale