Le Safe Harbor remis en cause : un jugement historique sur la protection des données

#Réglementation 14.10.2015 7min

Le 6 octobre, la Cour de Justice de l’Union Européenne décidait de remettre en cause le Safe Harbor ou « sphère de sécurité », qui autorisait jusqu’à présent les transferts de données personnelles entre l’Espace Economique Européen et les Etats-Unis. Les réactions à chaud se sont multipliées : la Quadrature du Net a ainsi qualifié le jugement « d’historique » et « courageux », la CNIL a estimé qu’il s’agissait d’une « décision clé pour la protection des données »…

Sans mettre un coup d’arrêt à la circulation de données entre l’Europe et l’Amérique du Nord, cette décision de justice vient alimenter le climat de défiance qui existe à l’encontre des géants du web établis aux Etats-Unis et rappelle à quel point il est primordial d’être attentif aux garanties offertes en matière de vie privée lorsque l’on confie ses données à un tiers.

Le Safe Harbor, un accord favorable aux entreprises américaines

Le Safe Harbor est un accord mis en place afin d’autoriser les transferts de données personnelles entre l’Europe et certaines entreprises américaines, un transfert d’ordinaire très limité par la réglementation existante. Revenons sur son histoire…

Une exception à une directive européenne

Depuis de nombreuses années, la Commission Européenne cherche à protéger le droit à la vie privée des citoyens. En 1995, elle a voté une directive (la directive 95/46/CE) qui instaure un cadre réglementaire au sein de l’Union Européenne concernant le recueil et la circulation de données personnelles.

La directive vise d’abord à encadrer la collecte de données personnelles : elle précise par exemple que celle-ci ne peut être effectuée qu’après avoir obtenu le consentement explicite de la personne concernée et pour des « finalités déterminées, explicites et légitimes ». On peut à tout moment demander l’accès aux données collectées, leur rectification ou leur suppression. Un citoyen doit également disposer d’une voie de recours devant la justice s’il estime avoir subi un préjudice lié à ses données personnelles.

Le second volet de la directive spécifie que les transferts de données depuis un Etat membre de l’Union Européenne vers un pays tiers ne sont autorisés que si ce dernier offre « un niveau de protection adéquat ». Chaque Etat dispose donc d’autorités de contrôle (comme la CNIL en France, le PFPD en Suisse, la Commission de Protection de la Vie Privée en Belgique, etc) chargées de veiller à l’application de cette réglementation.

Afin de faciliter les échanges et notamment les relations commerciales entre l’Europe et les Etats-Unis, un cadre réglementaire spécifique est alors créé pour faciliter la circulation des données personnelles entre ces deux régions du monde : le Safe Harbor ou sphère de sécurité. Fruit d’un accord entre le Département du Commerce américain et la Commission Européenne, le Safe Harbor établit que les Etats-Unis offrent des garanties suffisantes quant à la sécurité des données personnelles.

Quelques milliers d’entreprises, dont les GAFA (Google, Apple, Facebook, Amazon), listées sur le site officiel du Safe Harbor, sont ainsi autorisées à transférer aux Etats-Unis les données personnelles de leurs clients.

Le Safe Harbor remis en question

Si le Safe Harbor a toujours eu des détracteurs, leur nombre est devenu bien plus grand suite aux révélations d’Edward Snowden, ancien agent de la CIA et consultant de la NSA, l’agence nationale de la sécurité américaine. Snowden, en dévoilant un nombre conséquent de documents confidentiels, a révélé que le gouvernement américain opérait une surveillance de masse d’Internet.

Grâce à ces documents, le public découvre l’existence du programme PRISM : il permet au gouvernement (via le FBI et la NSA) d’opérer une surveillance sur les internautes en exploitant des backdoors (portes dérobées) présentes dans des logiciels largement utilisés par les particuliers autant que par les entreprises. L’Etat peut ainsi accéder librement aux serveurs de plusieurs géants du web (Google, Facebook, Microsoft, Apple ou encore AOL sont ainsi cités).

Max Schrems : un coup de pied dans la fourmilière

Maximilian Schrems, un jeune Autrichien, décide de mettre l’affaire entre les mains de la justice, ciblant plus particulièrement le réseau social Facebook dont il est membre depuis 2008. Facebook possède des bureaux en Europe et la majorité de ses utilisateurs se situent hors de l’Amérique du Nord (83.1% des membres vivent dans d’autres régions du monde). Schrems réalise que même si Facebook Ireland Ltd. semble gérer ces utilisateurs, leurs données personnelles sont en réalité transférées aux Etats-Unis, où elles sont traitées par Facebook Inc., la maison mère américaine.

Ce transfert de données n’est possible que grâce au Safe Harbor… et à la condition expresse que les Etats-Unis apportent « un niveau de protection adéquat » aux données comme le prévoit la réglementation. C’est précisément ce que Schrems met en doute.

« Nous affirmons qu’après la révélation de l’existence de PRISM, les serveurs des entreprises américaines concernées ne peuvent en aucun cas offrir une ‘protection adéquate’ aux données des Européens », explique-t-il.

Max Schrems dépose plusieurs plaintes concernant non seulement Facebook mais aussi d’autres entreprises qui traitent les données aux Etats-Unis : elles sont d’abord traitées par les autorités de contrôle situées en Irlande (pour Apple et Facebook), au Luxembourg (pour Skype et Microsoft) et en Allemagne (pour Yahoo).

La plupart des plaintes n’aboutissent pas, les éléments étant considérés comme insuffisants par la justice… La justice irlandaise elle-même rejette une première fois la requête de Maximilian Schrems car le Safe Harbor auquel Facebook a adhéré encadre a priori les transferts de données en garantissant le respect de la vie privée des utilisateurs. Sans se décourager, le jeune Autrichien dépose un recours. Les autorités irlandaises décident alors de saisir une plus haute instance : la Cour de Justice de l’Union Européenne (CJUE).

Invalidation du Safe Harbor : une crise de confiance

Vous le savez désormais, la CJUE a invalidé le Safe Harbor dans cette affaire, donnant raison à Max Schrems. Elle a en ce sens suivi les conclusions de l’avocat général, Yves Bot, qui déclarait : « Des pays tiers ne sauraient en aucun cas être réputés assurer un niveau de protection adéquat aux données à caractère personnel des citoyens de l’Union lorsque leur réglementation autorise effectivement la surveillance et l’interception massives et non ciblées de ce type de données ».

Autrement dit, dans la mesure où l’on a mis en évidence l’existence d’une surveillance de masse aux Etats-Unis, on ne peut pas considérer que le pays est apte à protéger la vie privée des citoyens européens. La CJUE note également qu’en tant qu’Européen, on ne dispose d’aucun recours évident pour faire valoir ses droits aux Etats-Unis.

En quoi les données personnelles concernent-elles les entreprises ?

Même si le terme « données personnelles » peut laisser penser que la décision de la CJUE n’impacte que la sphère privée, les entreprises sont en réalité concernées au premier chef par la problématique.

La loi française, à l’instar de bien des lois européennes, définit une donnée à caractère personnel comme étant « toute information relative à une personne physique identifiée ou qui peut-être identifiée, directement ou indirectement » (article 2 de la loi dite « Informatique et Libertés »).

Un fichier client, par exemple, comporte de nombreuses informations identifiantes sur les interlocuteurs clés au sein d’une entreprise : leur nom, leur adresse e-mail, leur numéro de téléphone. Un logiciel peut aussi, dans un souci de traçabilité ou à des fins statistiques, conserver d’autres données qui permettent une identification indirecte : adresse IP, profession, genre, âge, etc.

Bien qu’utilisées dans un but professionnel, ces informations sont de nature personnelle au regard de la loi et l’entreprise doit donc répondre à toutes les obligations légales relatives au traitement et à la protection de ces données. Une entreprise qui stocke des données personnelles dans le cloud a donc une réelle responsabilité vis-à-vis de la loi et de la justice sur ce qu’il advient des données.

Comme le rappelle Maître Iteanu, avocat et vice-président de l’association Cloud Confidence, « il revient désormais à chacun, en particulier aux responsables de traitement de données à caractère personnel européens, de prendre leurs responsabilités en s’assurant que leurs prestataires de Cloud en particulier, respectent sans détour la réglementation européenne en la matière ».

Un vide juridique

A l’échelle de l’affaire Schrems contre Facebook, le jugement rendu a pour effet de redonner aux autorités de contrôle nationales leur pouvoir de décision. Autrement dit, c’est à la justice irlandaise qu’il appartiendra de mener l’enquête sur les pratiques de Facebook en matière de traitement des données personnelles. Aucune réglementation européenne comme le Safe Harbor ne peut ni ne doit empêcher chaque pays de traiter au cas par cas les plaintes relatives à la vie privée de ses citoyens.

Nous entrons donc dans une période où règne un certain flou juridique… car toute personne recourant aux services d’une entreprise qui traite les données aux Etats-Unis peut, en théorie, se retourner contre elle pour exiger des garanties quant au traitement qui est fait des informations.

Bien sûr, il existe des recours et des solutions de contournement qui permettent aux géants du web américains de continuer à exploiter les données sans interruption de service. Néanmoins, la décision de la Cour de Justice de l’Union européenne constitue une véritable mise en cause de la manière dont ces entreprises protègent la vie privée de leurs clients.

L’organisation Digital Europe ne s’y est d’ailleurs pas trompée. Elle fédère de nombreux géants du web comme Apple, Google et Microsoft et s’est dite « inquiète de la perturbation potentielle des flux internationaux de données ».

Le jugement rendu vient alimenter une méfiance déjà vive à l’égard de ces entreprises. Il ne fait que rappeler à quel point il est primordial d’exiger de solides garanties lorsque l’on confie ses données à un tiers, en particulier en ce qui concerne la législation applicable. Héberger ses données dans un pays européen respectueux de la vie privée, que l’on soit un particulier ou un professionnel, permet à la fois de bénéficier d’un régime juridique protecteur mais aussi de voies de recours si l’on souhaite modifier ou supprimer lesdites données.

© Photo : G. Fessy, Grande salle de la Cour de Justice de l’Union européenne.