BFM Tech

Facebook et consorts n’ont plus le droit d’envoyer vos données aux États-Unis

-

- - MARTIN BUREAU / AFP

Les entreprises qui continuent de transférer les données personnelles selon la procédure du Safe Harbor sont désormais en infraction. Les négociations sur un Safe Harbor 2 sont au point mort.

La fête est finie. Aujourd’hui, 1er février, s’est écoulé le délai de grâce que la Commission européenne avait accordé aux entreprises utilisant l’accord du Safe Harbor pour transférer des données personnelles entre l’Union européenne et les Etats-Unis.

Toute organisation qui continuerait à réaliser ces transferts selon les procédures du Safe Harbor est désormais dans l’illégalité la plus totale et peut se faire sanctionner par les autorités nationales de protection des données personnelles. Elle risque également d’être attaquée en justice par les associations de défense de consommateurs et de droits citoyens.

La loi américaine n'est pas compatible

Cette insécurité juridique est un cuisant échec des négociateurs européens et américains, qui n’ont pas réussi à trouver un terrain d’entente sur cette épineuse question des données personnelles.

L’accord Safe Harbor a été cassé en octobre 2015 par la Cour de justice de l’Union européenne (CJUE), qui a estimé que les Etats-Unis ne fournissaient pas un niveau de protection adéquat aux données personnelles des Européens, notamment en raison des lois américaines de sécurité nationale (Foreign Intelligence Surveillance Act, FISA). Les révélations d’Edward Snowden avaient montré, en effet, qu’elles autorisaient la mise en place de programmes de surveillance de masse basées sur la collecte de données des géants du net tels que Google, Facebook ou Apple (programme Prism).

Depuis octobre dernier, les responsables politiques de part et d’autre de l’océan Atlantique ont tenté de trouver un nouvel accord, un "Safe Harbor 2". Les parlementaires américains ont même voté une loi baptisée Judicial Redress Act (JRA), censée donner davantage de garanties aux citoyens européens. Mais il est peu probable que cela soit suffisant, d'autant plus que le Sénat américain a rajouté un amendement qui préserve explicitement l'accès aux données personnelles pour des raisons de sécurité nationale. 

Dans son état actuel, le JRA ne risque pas de supprimer l'incompatibilité fondamentale qui existe entre la loi FISA et la Convention des droits de l'Homme de l'Union européenne et qui a motivé l'arrêt de la CJUE.

Impasse juridique

Que va-t-il se passer maintenant? Mercredi prochain, la Commission européenne devrait tenir une conférence de presse pour faire le point sur les négociations en cours. Mais, sauf surprise, il ne faudrait en attendre grand-chose.

Selon Max Schrems, qui est à l'origine de la plainte contre le Safe Harbor, il faudrait que les Etats-Unis "modifient tout leur système juridique lié à la surveillance gouvernementale. Ils ne le font pas pour leur propres citoyens, il y a peu de chance qu'ils le fassent pour les Européens", estimait-il dans une conférence donnée fin décembre à Hambourg (lire à 36min 20s).

Certaines entreprises, telles que Facebook, ont expliqué que l'arrêt de Safe Harbor n'allait pas les empêcher de transférer leurs données quand même, car il suffisait de mettre en place des procédures au cas par cas appelés "clauses contractuelles type" ou "règles internes d'entreprise".

Mais en réalité, selon M. Schrems, ces accords sont tout aussi fragiles sur le plan juridique que le Safe Harbor. Ils pourraient facilement être attaqués en justice avec les mêmes arguments. Bref, les géants du Net seront bientôt dans l'impasse.