Pour gérer vos consentements :

Safe Harbor : un accord invalide pour la justice européenne

La décision rendue ce mardi 6 octobre 2015 par la Cour de justice de l’Union européenne (CJUE) pourrait être lourde de conséquences pour les quelque 4 000 entreprises américaines qui transfèrent des données personnelles de citoyens européens vers les États-Unis sous le couvert du Safe Harbor.

Cet accord, négocié à la fin des années 90 entre les autorités américaines et la Commission européenne, avait été entériné par une décision du 26 juillet 2000. Il est aujourd’hui déclaré invalide à plusieurs titres.

La CJUE considère en premier lieu que les États-Unis ne garantissent plus un niveau suffisant de protection des données personnelles : selon les termes du jugement, la sécurité nationale et l’intérêt public prévalent aujourd’hui sur le Safe Harbor.

Les pouvoirs de la CNIL

Les juges pointent du doigt l’ingérence des services américains de renseignement, qui ont accédé aux données en question et les ont exploité « d’une manière incompatible avec les objectifs pour lesquels elles sont transférées », y compris en tenant compte des problématiques de sécurité nationale.

Les citoyens européens concernés n’ont pas ailleurs aucun recours, ni administratif, ni judiciaire, pour accéder aux informations stockées outre-Atlantique et éventuellement les modifier ou les supprimer.

Dans la lignée du réquisitoire formulé le 23 septembre par son avocat général Yves Bot, la CJUE a également réaffirmé « les pleins pouvoirs » des autorités nationales chargées de la protection des données personnelles.

En d’autres termes, la CNIL et ses homologues européennes sont habilitées, au nom de la Charte des droits fondamentaux de l’UE, à examiner « en toute indépendance » le respect, par une entreprise américaine, des dispositions inscrites au Safe Harbor. Et ce malgré l’existence de la décision 2000/530/CE rendue le 26 juillet 2000 par Bruxelles. Elles peuvent ensuite solliciter la CJUE, qui seule a le le pouvoir de déclarer invalide une loi européenne.

Retour en Irlande

Comment en est-on arrivé à ce jugement ? Il faut remonter à cette plainte déposée par Max Schrems contre Facebook.

Cet Autrichien, docteur en droit, exigeait que la filiale européenne du réseau social, implantée en Irlande, cesse de transférer les données des citoyens européens, dans la mesure où les États-Unis n’en assureraient pas une protection adéquate. Et d’évoquer les révélations d’Edward Snowden autour du programme PRISM permettant à la NSA d’accéder librement aux informations hébergées sur des serveurs situés sur le territoire américain.

Estimant ne pas pouvoir se saisir du dossier au regard de la base juridique établie par la décision 2000/530/CE, la Haute Cour de justice d’Irlande avait fait appel à la CJUE pour trancher sur sa compétence.

Il lui appartient désormais, en vertu de la décision du 6 octobre, d’examiner la demande de Max Schrems et de décider si Facebook doit cesser le transfert des données des citoyens européens vers les États-Unis… et par là même en limiter l’exploitation. Un verdict qui pourrait faire tache d’huile sur des « géants du Web » comme Google, Amazon et Microsoft.

Crédit photo : voyager624 – Shutterstock.com

Recent Posts

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

3 jours ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

7 jours ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

2 semaines ago

GenAI : comment choisir une solution « prête à l’emploi »

Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…

3 semaines ago

Sora : comment fonctionne le nouveau modèle text-to-vidéo

OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…

1 mois ago

GenAI : qui peut accéder à Gemini (ex Bard) ?

Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…

1 mois ago