Safe Harbor invalidé : des doutes et des certitudes
Avancées pour les droits fondamentaux, danger pour l’économie numérique… Panel de réactions après l’invalidation du Safe Harbor par la justice européenne.
Réjouissances, scepticisme, déception, soupe à la grimace : la notion de « gamme émotionnelle » a pris tout son sens avec l’invalidation du Safe Harbor.
Le couperet est tombé mardi 6 octobre dans la matinée : la Cour de justice de l’Union européenne invalidait cet accord sous le couvert duquel des milliers d’entreprises transfèrent vers les États-Unis des données collectées de l’autre côté de l’Atlantique.
Négocié à la fin des années 90 et formalisé dans un texte du 26 juillet 2000, le Safe Harbor a été mis à mal pas les révélations d’Edward Snowden.
Les nombreux documents exfiltrés par cet ancien consultant de l’Agence américaine de sécurité nationale (NSA) ont aiguillé la justice européenne dans l’examen du dossier… Jusqu’à cette conclusion rendue hier : les États-Unis ne garantissent pas un niveau suffisant de protection des données personnelles. Le Safe Harbor est par là même caduc, plus encore si on considère que « la sécurité nationale et l’intérêt public prévalent aux yeux des autorités ».
La CJUE a également noté que les citoyens européens n’ont aucun recours, ni administratif, ni judiciaire, pour accéder à leurs données personnelles stockées sur le sol américain et éventuellement les modifier ou les supprimer.
Collaboration express
La décision du 6 octobre réaffirme par ailleurs, au nom de la Charte des droits fondamentaux de l’UE, la pleine compétence des autorités nationales chargées de la protection des données personnelles pour examiner « en toute indépendance » le respect, par une entreprise américaine, des dispositions inscrites au Safe Harbor.
Cet enjeu était au coeur du discours tenu hier par Frans Timmermans et Vera Jourová – respectivement vice-président de la Commission européenne et commissaire à la Justice – dans le cadre d’une conférence destinée à faire le point sur l’évolution du dossier.
Afin d’éviter les décisions non harmonisées, Bruxelles promet d’éditer des « lignes directives » à destination de la CNIL et de ses homologues européennes. Objectif : établir un référentiel commun pour appliquer l’arrêt CJUE.
Voilà deux ans que la Commission européenne travaille en collaboration avec le gouvernement américain pour consolider le Safe Harbor, notamment sur les questions de transparence dans les flux de données transatlantiques.
Pour Penny Pritzker, secrétaire d’État américaine au Commerce, il est urgent d’accélérer ces négociations afin qu’un nouveau cadre entre en vigueur.
« Depuis l’an 2000, le Safe Harbor s’est révélé critique en matière de protection de la vie privée et de croissance économique, aux États-Unis comme dans l’Union européenne », déclare-t-elle. Et d’évoquer « une grande incertitude, autant pour les sociétés américaines et européennes que pour les consommateurs ».
Un coup dur pour le marché numérique ?
Du côté du G29, qui réunit l’ensemble des autorités de contrôle en Europe, on se félicite d’une décision qui « confirme les droits à la protection des données comme inhérents au régime des droits fondamentaux de l’Union ».
Le ton est bien évidemment plus pessimiste chez les industriels. Illustration avec DigitalEurope, qui fédère 35 organisations professionnelles nationales – dont l’Afdel en France – et 59 entreprises du numérique parmi lesquelles Apple, Google, Microsoft et Oracle.
Le lobby avait déjà exprimé ses craintes fin septembre, après le réquisitoire de l’avocat général de la CJUE. Il les réitère aujourd’hui, évoquant un « préjudice immédiat à l’économie de la donnée en Europe [et] à la création d’un marché numérique unique ». Et d’en appeler à la Commission européenne pour accélérer les discussions amorcées en 2013 avec le gouvernement U.S.
La Computer & Communications Industry Association s’inscrit dans ce même discours et précise que les barrières imposées aux flux de données transatlantiques pourraient « réduire de 1,3 % le PIB de l’Union européenne ».
L’Application Developers Alliance redoute aussi un impact sur l’investissement et l’innovation. Ses représentants dénoncent une « mise en danger » de l’écosystème start-up européen et regrette que la CJUE n’ait pas tenu compte des négociations en cours avec la Commission.
Crédit photo : Sashkin – Shutterstock.com