La décision était attendue aussi bien des défenseurs de la vie privée que des géants du Net. Mardi matin, la Cour de justice de l’Union européenne (CJUE) a déclaré invalide le «Safe Harbor», l’accord qui encadre les transferts de données personnelles de citoyens européens vers les Etats-Unis.
C’est quoi, le Safe Harbor ?
Le Safe Harbor, ou «sphère de sécurité», est un accord passé en 2000 entre la Commission européenne et le Département américain du commerce, pour permettre le transfert des données personnelles de citoyens européens vers le sol américain. Depuis une directive de 1995, ce transfert est interdit vers des territoires où le niveau de protection des données personnelles est inférieur aux standards de l’UE - ce qui est le cas des Etats-Unis. Avec le Safe Harbor, il suffit aux entreprises américaines de s’engager à respecter les normes de l’UE en la matière, via une certification annuelle… qu’elles peuvent se décerner. C’est ce qui permet à quelque 5 000 entreprises - dont Facebook, Google ou Amazon - de stocker dans des serveurs situés aux Etats-Unis les données de leurs utilisateurs européens.
Pourquoi a-t-il été remis en cause ?
L'idée d'un «niveau de protection suffisant» a été dynamitée par les révélations d'Edward Snowden sur la NSA. Dans la foulée, plusieurs acteurs de la société civile, et le Parlement européen, avaient demandé la suspension du Safe Harbor. Depuis, la Commission européenne et le Département américain du commerce se sont engagés dans une renégociation de l'accord. Entre-temps, le Safe Harbor a aussi été remis en cause sur le plan judiciaire. Max Schrems, un militant autrichien, a demandé la fin des transferts de données des utilisateurs de Facebook. Saisie de l'affaire, la Haute Cour de justice irlandaise a décidé de demander l'avis de la CJUE.
Qu’a décidé la CJUE ?
Le 23 septembre, l'avocat général de la CJUE, Yves Bot, estime que l'existence du Safe Harbor «ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle», les Cnil européennes. Il estime que la surveillance de masse des données personnelles viole les droits fondamentaux des citoyens de l'UE et recommande l'invalidation du Safe Harbor. Mardi, la CJUE a donc suivi ses conclusions en déclarant «invalide» la décision de la Commission reconnaissant le Safe Harbor. «Il n'y a plus d'accord général sur les transferts de données personnelles vers les Etats-Unis», résume Adrienne Charmet, de l'association la Quadrature du Net, qui a salué un «jugement courageux».
Quelles conséquences ?
A court terme, les flux numériques transatlantiques ne devraient pas pour autant se tarir. Il existe d'autres manières d'autoriser les transferts de données, via des clauses contractuelles. Mais la décision de la CJUE pourrait «accélérer la renégociation du Safe Harbor», estime Adrienne Charmet. Et permettre aux citoyens européens de demander des comptes sur la protection de leurs données.