Données personnelles : l’avenir du Safe Harbor fixé début février
Qui s'y frotte, s'y FIC
Le 26 janvier 2016 à 07h50
3 min
Droit
Droit
Hier, au Forum international sur la cybersécurité de Lille, Isabelle Falque-Pierrotin, présidente de la CNIL, a donné le calendrier sur les suites attendues après l’annulation du Safe Harbor en Europe.
Depuis 2000, le Safe Harbor est un dispositif qui permettait aux entreprises basées aux États-Unis d’y rapatrier les données personnelles butinées en Europe. Seulement, une procédure initiée par Maximilien Schrems, étudiant autrichien, a fait l’effet d’une bombe.
Ce David s’était élevé contre deux Goliath, Facebook et le Commissaire à la protection des données irlandais, en demandant vainement à ce dernier de mener à bien une enquête sur le sort de ses données outre-Atlantique. Bien lui en a pris : suite aux révélations Snowden, la CJUE a par la suite asséné ce que la Commission européenne avait elle-même constatée, sans sourciller : les États-Unis n’offrent plus le niveau de garantie qu’avait cru déceler Bruxelles en 2000, puisque les services du renseignement américain disposent d’un large accès aux données stockées et traitées localement. Elle annulait alors ce fameux Safe Harbor ouvrant la voie à de multiples questionnements sur le terrain des droits mais également de l’économie numérique.
D'une part, la Commission européenne a incité les acteurs du numérique à user de moyens alternatifs au Safe Harbor. Le droit européen autorise par exemple les clauses contractuelles standards ou les règles internes contraignantes. De son côté, le groupe des autorités de contrôle en Europe, réunies au sein du G29, a laissé jusqu’à fin janvier aux différents négociateurs le soin de trouver une solution pour atteindre le niveau de protection espéré de la CJUE.
Pas d'accord en vue pour un Safe Harbor 2
Mardi, à Lille, lors d’une conférence plénière organisée au sein du FIC, Isabelle Falque-Pierrotin a indiqué d'autre part que le G29 se réunirait début février pour savoir ce qu’il adviendra de l’annulation du Safe Harbor. Si la présidente de la CNIL a été discrète sur le sujet, plusieurs pistes se dégagent selon nos sources. Les clauses types et les Binding Corporate Rules (ou BCR), à savoir les codes de conduite internes aux entreprises, pourraient ne pas perdurer, sans doute parce qu’elles ne rabotent en rien la curiosité des services américains. Au-delà des autorisations individuelles, la seule issue disponible pour les acteurs du Web resterait finalement les décisions d’adéquation. Avec elle, dans un État déterminé, une autorité de contrôle devrait ainsi mener une analyse approfondie des lois nationales du pays tiers pour autoriser ou interdire le transfert.
Bien entendu, une telle position pourrait être jugée inutile si les États-Unis et l’Europe parvenaient finalement à un accord sur un hypothétique Safe Harbor 2. Sur le terrain politique, cependant, cette réalité n'est qu’un rêve encore trop lointain. Toujours au FIC, David Martinon, représentant spécial de la France pour les négociations internationales sur la société de l'information et l'économie numérique, a pointé aujourd’hui encore l’absence d’accord entre les différents pays européens sur ce dossier.
Données personnelles : l’avenir du Safe Harbor fixé début février
-
Pas d'accord en vue pour un Safe Harbor 2
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/01/2016 à 08h05
Je pense que dès qu’une société dépasse une seuil critique de taille dans un pays, elle devrait stocker les informations des utilisateurs dans le pays.
Exemple: Je suis fb, je dépasse 1M d’utilisateurs en france (chiffre fictif, flemme de chercher), je dois stocker sur le territoire l’ensemble des informations de ces utilisateurs. Et tant pis si mon datawarehouse ou mes LEFT JOIN prennent plus de temps.
M’enfin, ce n’est que mon avis.
Le 26/01/2016 à 08h20
Le 26/01/2016 à 08h44
Je rejoins MuadJC pour ça, en soit il n’est pas rare que des post sur FB ou des tweet se retrouvent à faire le tour du monde, cela deviendrait un bordel monstre de savoir si tu dois stocker en fonction d’où provient le post d’origine ou si ça doit etre stocké en fonction du pays de la personne qui commente
Le 26/01/2016 à 09h14
Bien entendu, une telle position pourrait être jugée inutile si les
États-Unis et l’Europe parvenaient finalement à un accord sur un
hypothétique Safe Harbor 2. Sur le terrain politique, cependant, cette
réalité n’est qu’un rêve encore trop lointain. Toujours au FIC, David
Martinon, représentant spécial de la France pour les négociations
internationales sur la société de l’information et l’économie numérique,
a pointé aujourd’hui encore l’absence d’accord entre les différents
pays européens sur ce dossier.
La CJUE invalide le Safe Harbor américain
(article publié le 6 octobre 2015)
Cela fait donc presque 4 mois que le SH est invalidé, et depuis ? Il me semble que les entreprises américaines continuent de stocker les données des européens comme s’il était toujours valide ?
Le 26/01/2016 à 09h33
Certaines choses bougent. Lentement…
http://www.lemondeinformatique.fr/actualites/lire-dropbox-va-etendre-le-stockage…
Le 26/01/2016 à 10h02
Je ne dis pas que ce serait facile à faire. Je dis juste que quand tu dépasses une taille critique, les données des utilisateurs de ce pays doivent rester dans le pays, point barre. Les contraintes mentionnées sont le problème de fb, pas le notre.
C’est les CNIL des pays concernés qui décideraient de ce qui doit être gardé dans un pays ou pas. Mais typiquement, toutes les informations d’un profil, photos/vidéos incluses serait la base.
Le 26/01/2016 à 11h39
Le problème c’est que même stockées en Europe rien n’interdira (techniquement parlant) la NSA et compagnie de venir butiner dans tes comptes …. c’est internet dès que tu es dessus, tu es en réseau donc atteignable.
Quand on voit la masse de données aspirées par ces services de renseignement, je n’ose imaginer la bande passante transatlantique que ça doit prendre… même si ils ont des stations d’écoutes partout en Europe cofinancées par nos alliés européens, il doit bien y avoir un moment où il faut rapatrier la substantifique moelle vers les USA. Et il doit en rester quelques tera octets seconde ( 29 gouvernements, administrations , hommes politiques, journalistes, sociétés, labo de recherche, services concurrents etc.)
On sait tous comment ils détournaient les limitations imposées par la législation, ils demandaient à d’autres pays de surveiller leurs ouailles à leur place. Donc même rapatriées chez nous nos données sont un livre ouvert.
Le 26/01/2016 à 13h01
La c’est comme la copie privé, on est censé ne s’intéresser qu’a ce qui est “légal”. Ce ramassage d’infos global et massif ne rentre pas dans ce cadre là.
Au final, tout ce que je dis c’est que les données persos des citoyens européens doivent rester en Europe. Elles ne devraient pas partir au US et être accessible aux services de l’état Américain et autres grosses entreprises.
Le 26/01/2016 à 14h33