Connexion
Abonnez-vous

Données personnelles : l’avenir du Safe Harbor fixé début février

Qui s'y frotte, s'y FIC

Données personnelles : l’avenir du Safe Harbor fixé début février

Le 26 janvier 2016 à 07h50

Hier, au Forum international sur la cybersécurité de Lille, Isabelle Falque-Pierrotin, présidente de la CNIL, a donné le calendrier sur les suites attendues après l’annulation du Safe Harbor en Europe.

Depuis 2000, le Safe Harbor est un dispositif qui permettait aux entreprises basées aux États-Unis d’y rapatrier les données personnelles butinées en Europe. Seulement, une procédure initiée par Maximilien Schrems, étudiant autrichien, a fait l’effet d’une bombe.

Ce David s’était élevé contre deux Goliath, Facebook et le Commissaire à la protection des données irlandais, en demandant vainement à ce dernier de mener à bien une enquête sur le sort de ses données outre-Atlantique. Bien lui en a pris : suite aux révélations Snowden, la CJUE a par la suite asséné ce que la Commission européenne avait elle-même constatée, sans sourciller : les États-Unis n’offrent plus le niveau de garantie qu’avait cru déceler Bruxelles en 2000, puisque les services du renseignement américain disposent d’un large accès aux données stockées et traitées localement. Elle annulait alors ce fameux Safe Harbor ouvrant la voie à de multiples questionnements sur le terrain des droits mais également de l’économie numérique. 

D'une part, la Commission européenne a incité les acteurs du numérique à user de moyens alternatifs au Safe Harbor. Le droit européen autorise par exemple les clauses contractuelles standards ou les règles internes contraignantes. De son côté, le groupe des autorités de contrôle en Europe, réunies au sein du G29, a laissé jusqu’à fin janvier aux différents négociateurs le soin de trouver une solution pour atteindre le niveau de protection espéré de la CJUE.

Pas d'accord en vue pour un Safe Harbor 2

Mardi, à Lille, lors d’une conférence plénière organisée au sein du FIC, Isabelle Falque-Pierrotin a indiqué d'autre part que le G29 se réunirait début février pour savoir ce qu’il adviendra de l’annulation du Safe Harbor. Si la présidente de la CNIL a été discrète sur le sujet, plusieurs pistes se dégagent selon nos sources. Les clauses types et les Binding Corporate Rules (ou BCR), à savoir les codes de conduite internes aux entreprises, pourraient ne pas perdurer, sans doute parce qu’elles ne rabotent en rien la curiosité des services américains. Au-delà des autorisations individuelles, la seule issue disponible pour les acteurs du Web resterait finalement les décisions d’adéquation. Avec elle, dans un État déterminé, une autorité de contrôle devrait ainsi mener une analyse approfondie des lois nationales du pays tiers pour autoriser ou interdire le transfert.

Bien entendu, une telle position pourrait être jugée inutile si les États-Unis et l’Europe parvenaient finalement à un accord sur un hypothétique Safe Harbor 2. Sur le terrain politique, cependant, cette réalité n'est qu’un rêve encore trop lointain. Toujours au FIC, David Martinon, représentant spécial de la France pour les négociations internationales sur la société de l'information et l'économie numérique, a pointé aujourd’hui encore l’absence d’accord entre les différents pays européens sur ce dossier.

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je pense que dès qu’une société dépasse une seuil critique de taille dans un pays, elle devrait stocker les informations des utilisateurs dans le pays. 



Exemple: Je suis fb, je dépasse 1M d’utilisateurs en france (chiffre fictif, flemme de chercher), je dois stocker sur le territoire l’ensemble des informations de ces utilisateurs. Et tant pis si mon datawarehouse ou mes LEFT JOIN prennent plus de temps.



M’enfin,  ce n’est que mon avis.

votre avatar







Baradhur a écrit :



Je pense que dès qu’une société dépasse une seuil critique de taille dans un pays, elle devrait stocker les informations des utilisateurs dans le pays. 



Exemple: Je suis fb, je dépasse 1M d’utilisateurs en france (chiffre fictif, flemme de chercher), je dois stocker sur le territoire l’ensemble des informations de ces utilisateurs. Et tant pis si mon datawarehouse ou mes LEFT JOIN prennent plus de temps.



M’enfin,  ce n’est que mon avis.



Le souci n’est pas que là. Outre les fausses déclarations, où stocker les réponses d’un étranger à ton post, les likes d’un pays tiers à cette réponse?

Techniquement les conséquences seraient gigantesques.



edit: et cela vaut pour un OneDrive partagé entre 5 nationalités!!!


votre avatar

Je rejoins MuadJC pour ça, en soit il n’est pas rare que des post sur FB ou des tweet se retrouvent à faire le tour du monde, cela deviendrait un bordel monstre de savoir si tu dois stocker en fonction d’où provient le post d’origine ou si ça doit etre stocké en fonction du pays de la personne qui commente

votre avatar



Bien entendu, une telle position pourrait être jugée inutile si les

États-Unis et l’Europe parvenaient finalement à un accord sur un

hypothétique Safe Harbor 2. Sur le terrain politique, cependant, cette

réalité n’est qu’un rêve encore trop lointain. Toujours au FIC, David

Martinon, représentant spécial de la France pour les négociations

internationales sur la société de l’information et l’économie numérique,

a pointé aujourd’hui encore l’absence d’accord entre les différents

pays européens sur ce dossier.





La CJUE invalide le Safe Harbor américain

(article publié le 6 octobre 2015)



Cela fait donc presque 4 mois que le SH est invalidé, et depuis ? Il me semble que les entreprises américaines continuent de stocker les données des européens comme s’il était toujours valide ?

votre avatar
votre avatar

Je ne dis pas que ce serait facile à faire. Je dis juste que quand tu dépasses une taille critique, les données des utilisateurs de ce pays doivent rester dans le pays, point barre. Les contraintes mentionnées sont le problème de fb, pas le notre.



C’est les CNIL des pays concernés qui décideraient de ce qui doit être gardé dans un pays ou pas. Mais typiquement, toutes les informations d’un profil, photos/vidéos incluses serait la base.

votre avatar

Le problème c’est que même stockées en Europe rien n’interdira (techniquement parlant) la NSA et compagnie de venir butiner dans tes comptes …. c’est internet dès que tu es dessus, tu es en réseau donc atteignable.



Quand on voit la masse de données aspirées par ces services de renseignement, je n’ose imaginer la bande passante transatlantique que ça doit prendre… même si ils ont des stations d’écoutes partout en Europe cofinancées par nos alliés européens, il doit bien y  avoir un moment où il faut rapatrier la substantifique moelle vers les USA. Et il doit en rester quelques tera octets seconde ( 29 gouvernements, administrations , hommes politiques, journalistes, sociétés, labo de recherche, services concurrents etc.)



On sait tous comment ils détournaient les limitations imposées par la législation, ils demandaient à d’autres pays  de surveiller leurs ouailles à leur place. Donc même rapatriées chez nous nos données sont  un livre ouvert.

votre avatar

La c’est comme la copie privé, on est censé ne s’intéresser qu’a ce qui est “légal”. Ce ramassage d’infos global et massif ne rentre pas dans ce cadre là. 



Au final, tout ce que je dis c’est que les données persos des citoyens européens doivent rester en Europe. Elles ne devraient pas partir au US et être accessible aux services de l’état Américain et autres grosses entreprises.

votre avatar







Baradhur a écrit :



Je ne dis pas que ce serait facile à faire.



Je suis d’accord sur le fond avec toi, mais tu semblais résumer les conséquence à un “INNER JOIN”.


Données personnelles : l’avenir du Safe Harbor fixé début février

  • Pas d'accord en vue pour un Safe Harbor 2

Fermer