Qu’est-ce que le « Safe Harbor » (Sphère de sécurité) ? Le Safe Harbor est un accord passé en 2000 entre la Commission européenne et le Département américain du commerce afin de rendre possible le transfert des données personnelles de citoyens européens vers les États-Unis par des entreprises américaines. Cet accord certifie que l’entreprise américaine respecte la législation de l’espace économique européen. En octobre, la Cour de Justice de l’Union Europénne a décidé d’invalider le Safe Harbor considérant que les Américains avaient utilisé cet accord pour « surveiller les Européens ».
La raison d’être du Safe Harbor
Le but du Safe Harbor est de permettre à des entreprises américaines qui fournissent des services numériques en Europe et qui doivent gérer la « big data », de transférer les données des clients européens vers des data-centers aux États-Unis. Actuellement, Safe Harbor concerne plus de 5000 entreprises qui sont censées respecter les modalités de transfert des données de leurs clients européens vers les États-Unis avec leur accord. Le Safe Harbor est basé sur un certain nombre de principes établis conjointement par la Commission européenne et les autorités américaines en 2001. Il concerne en particulier l’information des personnes, consentement explicite nécessaire pour l’utilisation des données sensibles, possibilité de s’opposer à un transfert/utilisation de ses données pour des finalités non annoncées, droit d’accès et de rectification et sécurité des données. Au mois de septembre 2015, 5475 entreprises américaines dont les GAFA (Google, Facebook, Amazon et Apple) étaient listées comme certifiées du Safe Harbor.
La suspension du Safe Harbor par la CJUE
Depuis l’affaire Snowden qui a révélé les pratiques douteuses et comparables à de l’espionnage de masse de l’Agence de renseignement américaine en utilisant les données des géants du numérique américains, la suspension de l’accord Safe Harbor avait été réclamée par plusieurs hauts responsables européens. Une date butoir pour une révision du Safe Harbor avait été fixée sans être respectée et aucune négociation n’a eu lieu. La suspension de cet accord transatlantique découle d’une révélation de Max Shrems, un étudiant autrichien, portant sur les pratiques de gestion et stockage de données de Facebook. La justice s’est emparée du sujet et a finalement conclu que le transfert de données personnelles était encadré par Safe Harbor. Dans ce contexte et après que Max Shrems a fait appel, la cour d’appel a sollicité l’avis de la Cour de Justice de l’Union européenne.
La Cour de justice rend son avis et l’arrivée du Safe Harbor II
Qui est donc responsable ? La CJUE a taclé la Commission européenne, à la source de cet accord qui au final ne remplit pas ses fonctions afin d’assurer la protection des données des citoyens/internautes européens. Elle souligne que c’était de la responsabilité de la Commission de constater que les entreprises américaines remplissent et respectent les principes fondamentaux de respect de la vie privée. Il est essentiel de préciser que les procédures administratives pour adhérer à l’accord Safe Harbor avait été simplifiées dans un souci d’allègement des démarches afin que les entreprises puissent s’auto-certifier.
Les CNIL européennes rassemblées sous le groupe du G29 ont donné aux autorités européennes et américaines un délai de trois mois afin de renégocier un nouvel accord. Věra Jourová, la commissaire européenne à la Justice, aux consommateurs et à l’égalité des genres a assuré que toutes les dispositions seront prises afin que le Safe Harbor réponde aux exigences de la Cour de Justice.
D’ici janvier 2016, un nouveau cadre réglementaire sera défini. La Commission négociera un nouvel accord avec les autorités américaines afin qu’une deuxième version du Safe Harbor vienne encadrer les transferts de données transatlantiques. Le dispositif sera accompagné d’une révision annuelle des entreprises concernées. Cette deuxième version devrait néanmoins s’étoffer de « mécanismes clairs et contraignants comportant un minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques ».
