En direct
Best of
Best of du 3 au 9 août
En direct
© Reuters
Le "Safe Harbor" est un accord encadrant l’utilisation des données des internautes européens.
Vie privée vie publique

Invalidation de l’accord Safe Harbor entre l’UE et les États-Unis sur les données personnelles : la justice européenne contraint les États à se préoccuper (mais trop tard?) de leurs citoyens

Publié le 07 octobre 2015
La Cour de justice de l’Union européenne (CJUE) a suspendu mardi 6 octobre le "Safe Harbor", un accord encadrant l’utilisation des données des internautes européens par de nombreuses entreprises américaines, dont les géants du Web. Dans cette affaire, la Cour du Luxembourg semble se substituer aux autorités publiques.
Ancien conseiller de la secrétaire d'État au numérique, polytechnicien et docteur en droit, Fabrice Mattatia est expert en confiance numérique. Il intervient dans plusieurs universités, dont Paris I Panthéon Sorbonne et La Rochelle, et dans des...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fabrice Mattatia
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Ancien conseiller de la secrétaire d'État au numérique, polytechnicien et docteur en droit, Fabrice Mattatia est expert en confiance numérique. Il intervient dans plusieurs universités, dont Paris I Panthéon Sorbonne et La Rochelle, et dans des...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
La Cour de justice de l’Union européenne (CJUE) a suspendu mardi 6 octobre le "Safe Harbor", un accord encadrant l’utilisation des données des internautes européens par de nombreuses entreprises américaines, dont les géants du Web. Dans cette affaire, la Cour du Luxembourg semble se substituer aux autorités publiques.

Atlantico : Pour la CJUE, la mise à disposition des données personnelles des Européens aux agences de renseignement américaines constituait une "atteinte au contenu essentiel du droit fondamental au respect de la vie privé". Dans quelle mesure les juges européens se sont substitués aux autorités publiques chargées de protéger les données personnelles ? Doit-on y voir une défaillance de la part des Etats, palliée par la CJUE ?

Fabrice Mattatia : Il ne s’agit pas ici d’une défaillance des seuls Etats. En effet, depuis la directive d’octobre 1995, la protection des données personnelles a été harmonisée au niveau de toute l’Union européenne. Tout un mécanisme communautaire a été mis en place, avec des autorités nationales de protection des données (comme la Commission nationale de l’informatique et des libertés – CNIL-  en France), et des pouvoirs accordés à la Commission européenne. Dans cette affaire, la CJUE a justement eu à examiner le fonctionnement de ce mécanisme. En effet, la Commission européenne avait pris en 2000 une décision autorisant le Safe Harbor, estimant que cet accord avec les Etats-Unis était conforme aux protections de données personnelles prévues par le droit européen. Suite aux révélations de Snowden, qui montraient que les données des citoyens transférées aux Etats-Unis en vertu du Safe Harbor n’étaient en fait pas suffisamment protégées, un étudiant autrichien, Max Schrems, avait déposé un recours contre l’usage du Safe Harbor par Facebook devant la CNIL irlandaise, Facebook ayant son siège européen en Irlande. Celle-ci a rejeté sa plainte, au motif que le Safe Harbor avait été validé par la Commission européenne. La CJUE était donc saisie de la question suivante : la validation du Safe Harbor par la Commission européenne en 2000 empêche-t-elle les CNIL d’enquêter sur sa mise en œuvre ?

La CJUE vient donc de répondre par la négative : il est bien dans les pouvoirs des CNIL de contrôler la protection de la vie privée des citoyens européens. Si la CJUE adresse des reproches à quelqu’un, c’est bien à la Commission, qui non seulement n’avait pas la compétence pour empêcher dans sa décision de 2000 les CNIL d’exercer leurs missions, mais qui de plus aurait dû, suite aux révélations sur le programme PRISM, en tirer elle-même les conséquences sur la caducité des garanties du Safe Harbor.

Comment l'Union européenne peut-elle reprendre la main sur la protection des données personnelles ? 

Le hasard faisant bien les choses, l’Union européenne est justement en train de finaliser un nouveau règlement sur la protection des données personnelles. Ce nouveau texte remplacera la directive de 1995 et en France la loi Informatique et Libertés. Il aborde notamment des points que le droit actuel, élaboré dans les années 1990, et encore imprégné du concept d’un traitement des données bien circonscrit, appréhende avec difficulté : éparpillement des données dans le cloud computing, généralisation de la sous-traitance, montée en puissance du Big Data… Lancé en 2012 par la Commission européenne, le projet a été amendé en 2014 par le Parlement européen, et en juin 2015 par les gouvernements. Nous en sommes actuellement à la phase de négociation du trilogue entre la Commission, le Parlement et le Conseil, pour arriver à un texte de compromis, que la présidence de l’Union espère voir aboutir d’ici la fin de l’année.

Ce texte prévoit notamment des sanctions très alourdies en cas de violation des données personnelles : alors qu’en France actuellement la CNIL voit ses sanctions plafonnées à 150.000 €, et le juge pénal à 300.000 €, ce qui n’est aucunement dissuasif pour les géants du web, la version du Parlement européen prévoit une amende de 5% du chiffre d’affaires mondial de l’entreprise fautive. C’est un montant du même ordre que les amendes en droit de la concurrence, ou que celles infligées récemment par les Etats-Unis à des entreprises françaises. A ce niveau de sanction, l’Europe pourrait se faire respecter. Evidemment, de forts lobbies sont à l’œuvre à Bruxelles pour faire baisser ce montant. 

Le Parlement européen a également souhaité ajouter un article « anti-Patriot Act » qui sanctionnerait la divulgation des données personnelles de citoyens européens à des administrations étrangères, hors accord de coopération judiciaire. Là aussi, les lobbies s’activent et l’adoption de cet article n’ira pas de soi. Mais si l’Europe demeure ferme et suit le Parlement européen sur ces deux propositions, sa crédibilité en sortira affermie.

Qu'est-ce que cette décision concrètement va changer pour les américains et également les internautes français ?

D’un point de vue strictement juridique, la CJUE ayant invalidé le Safe Harbor, toutes les entreprises qui se reposaient sur cet accord pour transférer des données personnelles aux Etats-Unis devraient en théorie cesser ces transferts, sous peine de se trouver dans l’illégalité. En pratique, la directive de 1995 prévoit d’autres procédures pour encadrer l’exportation des données : l’adoption de règles internes d’entreprise garantissant une protection adéquate, ou le recours à des clauses contractuelles types approuvées par la CNIL et engageant le destinataire des données, sans oublier dans les cas les plus complexes la constitution d’un dossier de demande d’autorisation auprès de la CNIL. Les entreprises concernées devront donc recourir à l’un de ces instruments.

Qu'est-ce que ce conflit judiciaire peut nous dire sur de possibles négociations d'un "Safe Harbor 2" ?

La priorité européenne devrait être la finalisation du règlement sur les données personnelles, puisqu’il constituera le cadre dans lequel un accord Safe Harbor 2 pourra éventuellement être négocié. Un nouveau texte devrait prendre en compte les critiques émises par la CJUE : le fait que les autorités américaines peuvent accéder aux données personnelles transférées aux Etats-Unis « au-delà de ce qui est strictement nécessaire et proportionné à la protection de la sécurité nationale », qualifié par la CJUE d’ « atteinte au contenu essentiel du droit fondamental au respect de la vie privée », et l’absence de voie de recours pour les citoyens européens concernés, « atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective ».

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

La guerre de France aura-t-elle lieu ?

02.

Crise de foie, 5 fruits et légumes : petit inventaire de ces fausses idées reçues en nutrition

03.

Le Titanic est-il en train de disparaître définitivement ?

04.

Quand Isabelle (Saporta) trompe Yannick (Jadot) avec Gaspard (Gantzer) et que le vrai cocu s'appelle David (Belliard)

05.

La fin des Bisounours : les experts en marketing découvrent que plus d’un Français sur deux avoue une attirance pour « les méchants »

06.

Record de distribution des dividendes : ces grossières erreurs d'interprétation qui expliquent la levée de bouclier

07.

Jean-Bernard Lévy, celui qui doit faire d’EDF le champion du monde de l’énergie propre et renouvelable après un siècle d’histoire

01.

La guerre de France aura-t-elle lieu ?

02.

« La France a une part d’Afrique en elle » a dit Macron. Non, Monsieur le Président, la France est la France, et c'est tout !

03.

Crise de foie, 5 fruits et légumes : petit inventaire de ces fausses idées reçues en nutrition

04.

​Présidentielles 2022 : une Arabe à la tête de la France, ça aurait de la gueule, non ?

05.

Manger du pain fait grossir : petit inventaire de ces contre-vérités en médecine et santé

06.

La saga du Club Med : comment le Club Med résiste à la crise chinoise

01.

Ces quatre pièges qui pourraient bien perturber la rentrée d'Emmanuel Macron (et la botte secrète du Président)

02.

"Une part d'Afrique en elle" : petit voyage dans les méandres de la conception macronienne de la nation

03.

Record de distribution des dividendes : ces grossières erreurs d'interprétation qui expliquent la levée de bouclier

04.

La guerre de France aura-t-elle lieu ?

05.

Un été tranquille ? Pourquoi Emmanuel Macron ne devrait pas se fier à ce (relatif) calme apparent

06.

« La France a une part d’Afrique en elle » a dit Macron. Non, Monsieur le Président, la France est la France, et c'est tout !

Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires