La Cour de Justice de l’UE enterre le Safe Harbor
La Cour de Justice de l’Union Européenne juge que le Safe Harbor américain protège insuffisamment les données personnelles. Le transfert de données vers les Etats-Unis, tel que pratiqué par Facebook et consorts, est compromis.
Dans un arrêté publié aujourd’hui, la Cour de Justice de l’Union Européenne juge que le régime du Safe Harbor américain, en vigueur depuis quinze ans, ne remplit pas les exigences européennes en matière de protection des données. Cette décision fait suite à une demande de la justice irlandaise dans l’affaire d’un citoyen autrichien estimant qu’au vu des révélations d’Edward Snowden, les États-Unis n’offrent pas de protection suffisante contre la surveillance de ses données conservées par Facebook.
Pour rappel, depuis une décision de la Commission européenne datant de 2000, les entreprises américaines étaient en droit de transférer des données personnelles vers les États-Unis, le régime américain du Safe Harbor offrant un niveau de protection adéquat. Ce ne sera plus le cas, la Cour de Justice de l’UE ayant donc invalidé cette décision pour plusieurs motifs. D’abord, la Cour relève que la Commission européenne s’est bornée à examiner le régime du Safe Harbor et n’a pas constaté effectivement que les États-Unis assurent un niveau de protection équivalent à celui de l’UE. La Cour de Justice de l’UE reproche en outre au régime du Safe Harbor de ne s’appliquer qu’aux entreprises qui y souscrivent. De plus et surtout, la Cour critique le fait que les entreprises sous ce régime doivent abandonner les règles de protection du Safe Harbor, lorsqu’elles entrent en conflit avec d’autres exigences, notamment de sécurité nationale, laissant ainsi la voie libre à une surveillance indifférenciée et disproportionnée de la part des autorités américaines. Enfin, la Cour constate qu’aux USA les voies de recours n’existent pas pour demander l’accès, la rectification ou la suppression des données conservées par les autorités.
Impacts multiples
L’arrêté de la Cour de Justice de l’UE aura de multiples conséquences. Pour commencer, les autorités de contrôle des différents pays de l’UE seront tenues d’examiner les plaintes des utilisateurs et de décider le cas échéant de suspendre le transfert de données vers les États-Unis. L’Irlande devra ainsi donner suite à l’affaire du citoyen autrichien par rapport à ses données Facebook. Mais de nouvelles plaintes similaires pourraient être déposées ces prochains mois visant d’autres fournisseurs américains jusqu’ici protégés par le Safe Harbor, comme Apple, Amazon, Microsoft, Oracle, Salesforce, ServiceNow, ou Twitter. Des entreprises qui pourraient se trouver contraintes de stocker les données en Europe, de ne plus les transférer et de se soumettre au droit européen en matière de protection des données. Une entrave économique si importante qu’elle aura sans doute aussi un impact politique sur les négociations en cours entre l’UE et les États-Unis pour un accord de libre-échange.
Kommentare
« Plus