Quand le Safe Harbor se casse la figure

Par Henri LEBEN - Avocat associé Colbert Paris IP / IT - Chargé d'enseignement à l'ISEP

Vous jouez ? Depuis plusieurs années vous vous connectez chaque jour à votre jeu préféré. Vous n'avez pour cela qu'à rentrer votre identifiant, et le jeu retrouve immédiatement votre personnage, votre historique, et accessoirement vos données de paiement ? Et bien en théorie, si ces données sont stockées sur des serveurs aux Etats-Unis, tout cela pourrait bien disparaître après l'arrêt de la Cour de justice de l'Union européenne du 6 octobre 2015 remettant en cause le fameux mécanisme du Safe Harbor.

Le Safe Harbor, qu'est-ce que c'est ?

Le respect de la vie privée fait partie des droits fondamentaux reconnus aux citoyens français et aux ressortissants communautaires. A ce titre, chacun a droit au respect de ses données personnelles et détient le droit de décider qui peut les consulter et les exploiter. Afin de rendre effectif ce droit, le législateur français a mis en place dès 1978, un corpus de règles censé permettre d'éviter les abus. Toute personne détient ainsi un droit d'accès aux données personnelles collectées la concernant. Par ailleurs, seules les données nécessaires à l'exécution du service fourni peuvent être collectées et les données ne peuvent pas être transmises sans l'accord de la personne concernée. Evidemment, à l'heure d'internet et de l'explosion du commerce numérique, le droit d'accès aux données et la possibilité de demander leur destruction peut paraître quelque peu illusoire. Cependant, la France, puis l'Union européenne ont mis en place des mesures qui sont loin d'être négligeables. Le non respect de la loi Informatique et Libertés du 6 janvier 1978 peut ainsi être sanctionné pénalement. Mais qu'en est-il lorsque les données collectées par une entreprise auprès d'internautes français sont transférées à l'international ?

Afin d'éviter qu'une fois stockées sur un serveur à l'étranger les données échappent au contrôle de leurs propriétaires, l'article 68 de la loi Informatique et Libertés interdit les transferts de données vers les Etats n'appartenant pas à la Communauté européenne, sauf si ces Etats " assurent un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ".

Les Etats-Unis ne faisant pas partie de l'Union européenne, les instances européennes ont dû décider si l'Amérique constituait un Etat " assurant un niveau de protection suffisant de la vie privée ".

C'est notamment dans ce cadre que les Etats-Unis ont mis en place un système d'auto-certification destiné à leurs ressortissants. Les entreprises américaines qui le souhaitent, s'enregistrent auprès de l'administration américaine en déclarant qu'elles respectent un certain nombre de principes censés garantir qu'elles traitent les données personnelles avec un niveau de protection équivalent aux normes européennes. Ces principes dénommés " Safe Harbor " et accessibles depuis le site du gouvernement américain sont, dans les faits, compatibles avec les grandes lignes du droit communautaire.

Par une décision en date du 26 juillet 2000 (décision 2000/520 CE), la Commission européenne a par conséquent jugé que les entreprises pouvaient transférer les données personnelles des ressortissants communautaires vers les entreprises américaines ayant adhéré au Safe Harbor. C'est cette décision qui vient d'être invalidée par la Cour de justice de l'Union européenne dans son arrêt du 6 octobre dernier.

Plus précisément, la Cour n'est pas revenue sur le fait que les principes énoncés dans le Safe Harbor étaient conformes au droit communautaire…mais a considéré qu'il n'existait pas de garantie que les entreprises américaines soient en mesure de respecter ces principes, compte tenu des récentes révélations sur les " écoutes " pratiquées à grande échelle par le gouvernement américain.

La Cour relève ainsi (point 22) que " il est possible que les données transférées dans le cadre de la sphère de sécurité (i.e, le Safe Harbor) soient accessibles aux autorités américaines et traitées par celles-ci au-delà de ce qui est strictement nécessaire et proportionné à la protection de la sécurité nationale ".

Elle constate également (point 88) que la décision de la Commission " ne comporte aucune constatation quant à l'existence, aux États-Unis, de règles à caractère étatique destinées à limiter les éventuelles ingérences dans les droits fondamentaux des personnes dont les données sont transférées depuis l'Union vers les États-Unis ".

Sur la base de ces constations, la Cour a par conséquent déduit que la Commission n'avait pas démontré dans sa décision " que les États-Unis d'Amérique assuraient effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux ". La décision de la Commission du 26 juillet 2000 a donc été annulée.

Et maintenant ?

Est-ce que cela signifie que les entreprises ne peuvent plus transférer de données personnelles vers les Etats-Unis ? Les données stockées sur les serveurs américains doivent-elles être rapatriées vers des serveurs européens ?

Sur son site, la CNIL annonce qu'elle va " prochainement rencontrer ses homologues afin de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt sur l'ensemble des transferts intervenus dans le cadre du "safe harbor".

Il n'aura d'ailleurs échappé à personne que les "conséquences" en question concernent à la fois les futurs transferts, mais également tous ceux effectués ces quinze dernières années sur la base du Safe Harbor. Le moins que l'on puisse dire est donc qu'il existe aujourd'hui une certaine incertitude juridique. En attendant les recommandations de la CNIL, les entreprises peuvent recourir à d'autres mécanismes, comme la mise en place de clauses contractuelles censées assurer le respect des données personnelles. Ceci étant, rien ne garantit que ces mécanismes ne seront pas ensuite considérés comme insuffisants par la Cour de justice, pour les raisons mêmes pour lesquelles elle a invalidé le mécanise du Safe Harbor...

Henri LEBEN
Avocat associé COLBERT PARIS IP/IT
Chargé d'enseignement à l'ISEP