Safe Harbor invalidé: la revanche européenne sur les USA

"Le principal problème du Safe Harbor est son aspect partiellement déclaratif"

"Les États-Unis n'ont pas de législation fédérale pour la protection des données personnelles qui soit comparable avec le cadre européen. En conséquence, il ne devrait normalement pas être possible d'y transférer des données personnelles depuis l'Union européenne", estime-t-il. Selon M. Piolle, cela constituerait un obstacle sérieux pour toute entreprise ayant des clients ou des salariés des deux côtés de l'Atlantique.

Le chercheur souligne que l'accord de "Safe Harbor" a été conclu pour permettre des flux de données vers certaines entreprises américaines. D'après ce document, si une entreprise est certifiée comme respectant les principes de protection des données personnelles du Safe Harbor, elle sera considérée comme ayant un niveau de protection adéquat et pourra plus facilement être destinataire de données personnelles provenant de l'Union européenne.

"Le principal problème du Safe Harbor est son aspect partiellement déclaratif. En effet, il suffit à une entreprise d'affirmer s'être certifiée elle-même, sans réelle autorité de contrôle, pour être intégrée au Safe Harbor", fait remarquer M. Piolle. "Les contrôles étant quasiment inexistants, il est difficile de s'assurer que ces entreprises respectent effectivement les principes du Safe Harbor. Les révélations de Snowden ont montré que cette protection était en effet inefficace: les données personnelles détenues par ces entreprises sont dans les faits largement collectées et exploitées par les agences fédérales américaines, malgré l'accord de Safe Harbor et sans que les personnes concernées puissent en être conscientes ni en demander réparation", estime-t-il.

"Le transfert de données personnelles entre l'Union européenne et les USA deviendrait simplement plus complexe"

M. Piolle souligne que c'est ce point qui a fait dire à l'avocat général de la Cour de justice de l'Union européenne que le cadre du Safe Harbor ne devait plus être considéré par l'Union européenne comme présentant une protection adéquate.

"Si l'accord devait être invalidé par la Cour, et jusqu'à ce qu'un nouveau cadre soit mis en place, les flux de données vers les États-Unis ne pourraient plus bénéficier de ce cadre d'exception. Il faudrait alors que les entreprises concernées s'appuient sur les autres outils proposés, comme des clauses standard à insérer dans leurs contrats ou l'établissement de règles internes d'entreprises ("Binding Corporate Rules")", estime-t-il.

Le chercheur pense que ces outils, toutefois, ne présentent pas davantage de garanties en ce qui concerne leur respect par les entreprises sur le territoire des États-Unis, aucun contrôle ou audit systématique n'étant prévu. D'après lui, leur adoption par des entreprises américaines ne les rendra pas moins vulnérables aux collectes de données effectuées par les agences fédérales américaines sous couvert du PATRIOT ACT ou du FISAA. Il est donc probable que l'impact sur la protection effective des données personnelles en sera négligeable", ajoute-t-il.

"Le transfert de données personnelles entre l'Union européenne et les États-Unis n'en serait pas nécessairement rendu impossible ni plus sûr, mais simplement plus complexe à mettre en place pour les entreprises", conclu l'expert.