C’est la première grosse réplique du tremblement de terre lié à l’affaire Snowden. Saisie via la justice irlandaise par un étudiant autrichien, Max Schrems, reprochant à Facebook de détenir des données à caractère personnel sur son compte, la Cour de justice européenne a invalidé ce matin quatre articles essentiels du Safe Harbor, un accord datant de 2000 autorisant le transfert vers les Etats-Unis des données personnelles des européens.

Apparemment anodin, ce jugement a mis en émoi toute la sphère digitale. Car s’il est confirmé, il pourrait avoir d’importantes conséquences sur le business des entreprises du numérique. Lesquelles ? Les interprétations divergent sur ce point. Nous avons sollicité l’éclairage de deux personnalités du secteur pour tenter d’y voir clair : Guy Mamou Mani, président du Syntec Numérique, et Olivier Itéanu, avocat spécialisé dans le secteur des technologies de l’information et administrateur d’EuroCloud France.

Pour le premier, si ce jugement est légitime eu égard au problème de confidentialité des données posé par les pratiques de la NSA, l’agence de renseignement américaine, il n’en représente pas moins une menace pour le business des entreprises du numérique. Selon lui, Safe Harbor s’apparente ni plus ni moins à un accord de libre échange s’appliquant aux données et son invalidation revient à brider voire paralyser ces échanges. Ce qui peut se révéler rapidement problématique pour les entreprises dont c’est précisément le métier, par exemple un éditeur spécialisé dans la consolidation de données.

« On pourrait croire que l’impact sera limité aux entreprises américaines rapatriant sur leur sol les données d’utilisateurs européens mais on oublie que beaucoup d’entreprises européennes, par exemple les banques et les assurances, utilisent aussi des données provenant des usagers américains », explique le président du Syntec Numérique. Pour lui, il est urgent de renégocier un Safe Harbor 2, enrichi de dispositifs permettant de protéger les entreprises de l’emprise du Patriot Act et autres lois de renseignements nationales.

Pour Olivier Itéanu au contraire, ce jugement de la Cour de justice européenne est plutôt une bonne nouvelle pour les entreprises européennes. Il rappelle que Safe Harbor est un programme d’autorégulation qui permet aux USA, qui n’ont pas de loi sur la protection des données personnelles, de déroger aux lois européennes en la matière au nom des garanties qu’ils seraient en mesure d’apporter en matière de protection de la vie privée.

« Ce dont on se rend compte aujourd’hui et ce qu’a reproché la Cour de justice européenne à la Commission européenne, explique l’avocat, c’est que cette dernière n’a pas prévu de contrôle de ces garanties et qu’en l’occurrence elle a permis à la NSA d’accéder aux données des internautes européens ». Estimant que les recours possibles étaient trop faibles pour les citoyens européens aux USA, la Cour de justice européenne a rappelé à cette occasion que les autorités nationales de protection des données personnelles devaient conserver leur pouvoir de contrôle et de sanction sur l’utilisation des données de leurs citoyens.

Olivier Itéanu va même plus loin, en laissant entendre que la Commission européenne pourrait être en partie responsable du sous-développement des entreprises européennes en matière de numérique. « Au regard de nos lois en matières de données personnelles, Google, Facebook et consort n’auraient probablement jamais pu se développer en Europe. Mais, pendant que ces lois s’appliquaient aux entreprises européennes, avec toutes les limitations qu’elles impliquaient sur leur business, la commission européenne a créé avec Safe Harbor une exception qui a permis à toutes leurs concurrentes américaines de capter les données des usagers européens sans aucune limite ».

Cette décision de justice ne devrait donc pas changer grand-chose pour les entreprises européennes, selon l’avocat. Au contraire, elle devrait leur donner un ballon d’oxygène en obligeant leurs concurrentes américaines à rapatrier les données des citoyens européens en Europe et à se conformer aux législations locales. Au passage, elle va « dans le sens de plus de garanties données aux citoyens », notamment pour se protéger des nouvelles formes d’exploitation intensive des données personnelles mises en pratique par les géants du Web par exemple pour leurs services de marketing prédictif.

Nos lecteurs ont lu ensuite


Le Cloud Microsoft adoubé par les CNIL européennes : un propos exagéré
Dans un billet posté récemment sur le blog officiel de Microsoft, Brad Smith, directeur juridique et vice président exécutif de l’éditeur, déclare que ses services Cloud seraient conformes aux « high standards of EU privacy law »....

RGPD contre Cloud Act : qui est le plus fort ?
En installant leurs datacenters en France, AWS, Microsoft et consors tentent de rassurer les clients français en leur apportant toutes les garanties qu’ils attendent en termes de sécurité et de conformité RGPD. Oui mais voilà,...

Bruxelles va inclure une clause de suspension dans le prochain Safe Harbor
Le 6 octobre dernier la Cour de justice européenne invalidait le Safe Harbor, un accord  autorisant le transfert vers les Etats-Unis des données personnelles des européens. Ce jugement intervenait suite à une action intentée par...

Hexatrust met en doute la capacité des fournisseurs de services cloud étasuniens à se conformer au RGPD
L’association Hexatrust qui regroupe les acteurs français spécialisés dans la cybersécurité, ne croit pas que les grands fournisseurs de services cloud étasuniens tels Microsoft ou Amazon puissent un jour se mettre en conformité avec le...

Encore des zones d’ombres dans le nouveau « Safe Harbor »
Le 6 octobre dernier la Cour de justice européenne  invalidait le Safe Harbor, un accord encadrant le transfert vers les Etats-Unis des données personnelles des européens, considéré comme n’offrant pas assez de garantie en matière...