Mis en place conjointement par le Département du Commerce des Etats-Unis et la Commission européenne, le cadre juridique Safe Harbor (sphère de sécurité) est censé garantir que les entreprises américaines signataires (plus de 4.000 à ce jour dont Microsoft, Facebook, Google ou encore HP) hébergeant des données personnelles ne transfèrent pas celles-ci à des tiers sans l’accord de leur propriétaire ou les utilisent dans un autre but que celui prévu initialement. Dans ce cas, les données échappent aux contrôles des autorités de protection des données personnelles (la CNIL en France).

Alerté par les révélations d’Egard Snowden sur la surveillance massive pratiquée par la NSA, un juriste autrichien, Maximilian Schrems, avait déposé plainte devant le commissaire à la protection des données irlandais au motif que Facebook – dont le QG international est à Dublin – transfère tout ou partie des données de ses utilisateurs européens aux Etats-Unis. Le commissaire ayant refusé d’enquêter, le juriste avait porté l’affaire devant la Cour de justice de l’union européenne.

L’avocat général de la juridiction, Yvon Blot, vient de rendre ses conclusions. Dans un long avis en 237 points il rejette le principe même de la sphère de sécurité tel que défini actuellement.

 » Un certain nombre de révélations ont récemment mis en lumière l’existence de programmes américains de collecte de renseignements à grande échelle. Ces révélations ont jeté le trouble sur le respect des normes du droit de l’Union lors de transferts de données à caractère personnel vers des entreprises établies aux États-Unis et sur les faiblesses du régime de la sphère de sécurité « , écrit-il, rappelant que  » le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à de telles données « . Selon lui, les principes de la sphère de sécurité publiée par le ministère du commerce américain est invalide et les autorités de protection des données personnelles ne sont pas tenues par l’accord Safe Harbor, de sérieux doutes subsistant sur leur respect par les autorités US.

Si elle suit les conclusions de son avocat général (ce qui est généralement le cas), la Cour devrait  donc interdire le transfert des données personnelles vers les Etats-Unis.

Nos lecteurs ont lu ensuite


Le Cloud Microsoft adoubé par les CNIL européennes : un propos exagéré
Dans un billet posté récemment sur le blog officiel de Microsoft, Brad Smith, directeur juridique et vice président exécutif de l’éditeur, déclare que ses services Cloud seraient conformes aux « high standards of EU privacy law »....

Suspension du Safe Harbor : quelles conséquences pour les entreprises du numérique ?
C’est la première grosse réplique du tremblement de terre lié à l’affaire Snowden. Saisie via la justice irlandaise par un étudiant autrichien, Max Schrems, reprochant à Facebook de détenir des données à caractère personnel sur...

RGPD contre Cloud Act : qui est le plus fort ?
En installant leurs datacenters en France, AWS, Microsoft et consors tentent de rassurer les clients français en leur apportant toutes les garanties qu’ils attendent en termes de sécurité et de conformité RGPD. Oui mais voilà,...

Fuites de données personnelles : le nouveau cauchemar des entreprises
Un projet de réglementation européenne intègre des dispositions qui auront les faveurs des défenseurs de la vie privée mais qui promettent de renforcer considérablement le risque juridique sur les entreprises....

Retour sur les plus importantes acquisitions de l’IT
Suite à des informations qui circulaient depuis quelques temps, Dell a donc racheté EMC, la holding qui rassemblait notamment le spécialiste du stockage EMC², VMWare, RSA et Pivotal. C’est la plus importante acquisition du secteur...