Données personnelles : Europe et États-Unis ont trois mois pour colmater la sphère d’insécurité
Les copains d'Harbor
Le 19 octobre 2015 à 14h10
4 min
Droit
Droit
La secousse tellurique de la remise en cause du Safe Harbor avec les États-Unis n’est pas prête de s’achever. Les CNIL européennes, réunies autour du G29, viennent de laisser trois bons mois à l’Europe et aux États-Unis pour trouver des solutions techniques et juridiques.
L’arrêt du 6 octobre 2015, dit arrêt Schrems, a sonné le glas de la « sphère de sécurité » américaine. Reconnue depuis 2000 par la Commission européenne, elle permettait à des milliers d’entreprises d’aspirer les données personnelles des citoyens européens pour les traiter outre-Atlantique, dans leurs data centers notamment. Seulement, éclairée par Edward Snowden, la CJUE a considéré que le régime de surveillance potentiellement de masse de la NSA était incompatible avec un tel mécanisme, notamment au regard de l’inexistence de droit au recours des principaux concernés. Mieux, la Commission européenne est épinglée pour avoir mal évalué les conditions justifiant un tel label, qui est dès lors invalidé purement et simplement.
Un répit de trois mois, ponctué par des menaces
L’appel d’air provoqué par cet arrêt a remis au premier plan les autorités de contrôle. Les CNIL européennes, réunies sous l’égide du G29, viennent ainsi d’analyser les conséquences de cette décision. Leur communiqué souffle le chaud et le froid : si dès aujourd’hui, tous les transferts opérés sur la base du Safe Harbor « sont illégaux », il est demandé « aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016 ».
En guise de pistes, le G29 leur somme « d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions (...) permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux ». Le bornage est simple : « ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes ». Sous-entendu, sans le respect de ces critères de base, il ne sera pas possible de rouvrir les vannes.
Une brèche fragile dans le ciel du Safe Harbor
Une brèche est déjà ouverte dans le ciel sombre du Safe Harbor. En chœur, ces autorités considèrent en effet que les autres outils de transfert comme les engagements internes et les clauses contractuelles « peuvent encore être utilisés par les entreprises ». Cependant, il n’est pas expliqué en quoi les outils de surveillance américains sont en capacité de respecter ces dispositions de secours (sur ce point, voir cette interview). Faute de mieux, les autorités secouent une faible menace : « la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir. »
Mais que se passera-t-il dans trois mois, faute de solution venant de Bruxelles ? Simple. En fonction « de l’évaluation en cours des outils de transferts par le G29 », la réaction pourra aller jusqu’à « des actions répressives coordonnées ». Avant cela, une grande campagne d’information va être initiée par la CNIL en France, notamment à l’égard des entreprises qui exploitaient le pipeline du Safe Harbor.
Au Parlement européen, au même moment, la commission des libertés civiles a adopté la semaine dernière une résolution où elle profite de la décision Schrems pour dénoncer de « récentes législations adoptées dans plusieurs États membres, qui renforcent les capacités de surveillance des organes de renseignement ». Le communiqué officiel pointe l’index sur le Royaume-Uni et la France, tout particulièrement.
Données personnelles : Europe et États-Unis ont trois mois pour colmater la sphère d’insécurité
-
Un répit de trois mois, ponctué par des menaces
-
Une brèche fragile dans le ciel du Safe Harbor
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/10/2015 à 16h02
Je viens de vérifier, mais certains site utilise Safe Harbour (de la mon erreur), alors que Safe Harbor devrait être employé. désolé
Le 19/10/2015 à 16h13
Je pense que toutes les CNIL européennes vont intenté chacune dans leur pays respectifs un procès aux méchantes GAFA si POTUS n’arrive pas à faire bouger le congrès.
On verra si dans leur bilan fiscaux les GAFA commence à approvisionner des comptes pour faire face aux procès.
Le 20/10/2015 à 04h18
« d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions (…) permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux »
En clair ils nous demandent de continuer à communiquer notre vie privée aux ricains dans le respect de notre vie privée. Formidable.
Pour ma part je demande aux petits commerçants de trouver une solution pour satisfaire les demande d’extorsion de leur mafia locale - dans le respect de leurs droits bien sûr. Et aux anciens alcooliques de supporter nos vignerons en buvant chaque jour deux verres de vin - dans le respect de leur droit à protéger leur santé.
Tout est question de respect.
Le 20/10/2015 à 08h01
“le G29 leur somme « d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions (…) permettant de transférer des données vers le territoire américain»”
Euh, non…
Le 20/10/2015 à 08h07
Le 20/10/2015 à 12h44
Le 19/10/2015 à 14h35
Les copains d’Harbor
Effectivement, c’est un peu le radeau de la Méduse ici …
En tout cas, ça a l’air d’être une bonne avancée en la matière. On verra bien dans quelques mois …
Le 19/10/2015 à 14h38
GG le sous titre.
Par contre, on parle de quoi quand on évoque “des actions répressives coordonnées” ?
Le 19/10/2015 à 14h39
Le 19/10/2015 à 14h50
Utilisation d’armes de distraction massive.
“une grande campagne d’information va être initiée par la CNIL en France” ou d’instruction massive?
Le 19/10/2015 à 15h00
Le 19/10/2015 à 15h13
La solution ne se trouve pas en France avec l’odeur de collaboration qui se dégage de la loi renseignement.
Le 19/10/2015 à 15h36
Ce n’est plus le Safe Harbour, mais un compte Harbour. Wait & see