Tout le dossier Tout le dossier
-
Politique
Safe Harbor II : Le principe d'un nouvel accord transatlantique sur l'échange de données est acté
-
Données personnelles
Facebook : "L’après Safe Harbor est une question à régler de gouvernement à gouvernement"
-
Juridique
Le Safe Harbor invalidé par l'Europe, il faut repenser l'export de données vers les Etats-Unis
-
Les experts du numérique
Ce que les entreprises peuvent faire en attendant un Safe Harbor II
-
Données personnelles
Le cadre légal du transfert de données vers les Etats-Unis invalidé par la Cour européenne de justice
-
Données personnelles
Rencontre avec le juriste qui a porté plainte contre Facebook et force l'Europe à trancher sur la surveillance de masse
Le Safe Harbor invalidé par l'Europe, il faut repenser l'export de données vers les Etats-Unis
Suite à la plainte de Maximilien Schrems auprès de la CNIL irlandaise, contre le transfert de ses données par Facebook aux USA, la Cour européenne de justice a invalidé le dispositif Safe Harbor qui était censé garantir la sécurité de telles opérations.
Conséquence : les entreprises, GAFA en tête, vont devoir trouver de nouvelles dispositions.
Emmanuelle Delsol
La Cour de justice de l’Union européenne (CJUE) vient de rendre son très attendu verdict dans l’affaire qui opposait le jeune juriste autrichien, Maximilien Schrems au géant américain Facebook. Et celui-ci invalide tout simplement une décision du 26 juillet 2000 connue sous le nom de "Safe harbor". Ce dernier autorisait tout transfert de données à des fins commerciales entre l’Europe et les USA, s’appuyant sur le postulat que les USA constituent un "safe harbor" justement, un espace suffisamment sécurisé, pour ne pas causer d’inquiétude quant aux données exportées.
Le dispositif avait été invoqué par la Commission face à Maximilien Schrems, qui reprochait à Facebook de transférer ses données vers les Etats-Unis, les exposant à la surveillance de la NSA. Il avait pour cela directement interpellé l’organisme irlandais homologue de la CNIL, car le siège européen du réseau social se trouve à Dublin.
Des conséquences hors du secteur numérique
Comme le signalait le plaignant le 22 septembre dernier, dans un entretien avec L’Usine Digitale, avec une telle invalidation, "Google, Microsoft, Facebook, Yahoo... ne pourraient plus transférer les données vers leurs data centers aux Etats-Unis, ce qui porterait un sérieux coup à leur business model." Facebook a d’ailleurs réagi, jugeant "impératif" que les Etats-Unis et l'Union trouvent une solution pour garantir des "méthodes fiables de transferts légaux de données", après une décision de la justice européenne invalidant le cadre juridique existant.
La décision de la CJUE a des conséquences évidentes pour les Gafa, les entreprises du numérique, mais aussi plus globalement toutes les entreprises qui ont des liens avec les USA. Au-delà du seul cas Facebook, ce que le verdict de la CJUE remet en cause, c’est la décision 2000 de permettre des transferts entre l’UE et les USA sous simple couvert du SafeHarbour. "N’importe quelle entreprise, filiale d’un groupe américain, qui souhaite aujourd’hui procéder à de tels transferts pour présenter une gestion centralisée de la paye, par exemple, ne peut plus se baser uniquement sur le safeharbor", précise Annabelle Richard, avocate à la cour, cabinet Pinsent Masons.
Vers un Safe Harbor 2 ?
Annabelle Richard, rappelle néanmoins que la décision prise par la CJUE le 6 octobre, n’est pas une surprise. L’invalidation du Safe Harbor était en particulier attendue depuis l’affaire Snowden. "Dans l’ère post-Snowden, on sait ce qu’il est possible de faire, et ce qui a été fait. On sait comment les technologies sont réellement utilisées." Comme elle le note, "la Cour fonde largement sa décision sur le fait que les principes de protection du Safe Harbor s'effacent devant les nombreuses exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des Etats Unis. Ainsi, la sphère de sécurité créée par le Safe Harbor paraît bien trop perméable".
Certaines entreprises ont eu le temps de voir venir la fin du safeharbor et auraient déjà préparé des dispositifs plus exigeants. "Un Safe Harbor 2 pourrait également voir le jour", ajoute l’avocate.
Congratulations, @MaxSchrems. You've changed the world for the better. http://t.co/HmGpRq5Dgt pic.twitter.com/rTLYHhvmoY
— Edward Snowden (@Snowden) 6 Octobre 2015
La balle dans le camp de Dublin
Annabelle Richard rappelle aussi que "cette décision s’inscrit dans le cadre d’un dialogue avec la juridiction irlandaise, saisie par Maximilien Schrems". Le Safe harbor invalidé, l’Irlande devra se prononcer sur les mesures concrètement mises en place par Facebook pour transférer les données entre UE et USA. Dublin pourrait ainsi considérer que, au-delà du Safe Harbor, les dispositifs mis en place par Facebook pour garantir la sécurité des données sont satisfaisants.
Le Safe Harbor invalidé par l'Europe, il faut repenser l'export de données vers les Etats-Unis
Tous les champs sont obligatoires
0Commentaire
RéagirPARCOURIR LE DOSSIER