EurActiv.fr

Actualités & débats européens dans votre langue

28/08/2016

La CNIL allemande interdit aux géants du net de stocker leurs données hors d’Europe

Société de l'information

La CNIL allemande interdit aux géants du net de stocker leurs données hors d’Europe

Siège de Google à Hambourg

[Flickr/Andreas Kopp]

Les responsables allemands de la protection des données ont suspendu les transferts de données vers les États-Unis et demandé aux entreprises opérant en Europe de ne stocker les données que dans l’UE. Au grand dam du secteur. 

DigitalEurope, l’association professionnelle du secteur des technologies, a déclaré le 28 octobre que l’annonce des autorités allemandes de protection des données allait « engendrer une volatilité inutile du marché ».

Les autorités de régulation des différents États allemands et l’organe de supervision national ont annoncé le 26 octobre qu’ils n’autoriseraient plus aucun transfert de données vers les États-Unis sur la base de règles d’entreprise contraignantes ou de contrats de transfert de données. Les spécialistes de la protection des données ont remis ces voies légales de transferts en question après que la Cour de justice de l’Union européenne a jugé que l’accord de Safe Harbour était illégal, le 6 octobre dernier.

Safe Harbour jugé illégal

Le Safe Harbour, ou sphère de sécurité, permettait aux entreprises de transférer des données européennes vers les États-Unis en attestant d’une protection des données très rigoureuse. La Cour européenne a cependant jugé que la protection des données aux États-Unis n’était pas conforme avec les exigences de l’UE.

Lors d’un débat à la commission libertés civiles, justice et affaires intérieures (LIBE) du Parlement européen le 26 octobre, la commissaire en charge de la justice, Vera Jourova, a qualifié les clauses de contrat et les règles contraignantes de moyens valides pour transférer des données vers les USA.

L’annonce des autorités allemandes cette semaine montre qu’elles vont de l’avant pour établir des garde-fous nationaux vis-à-vis des transferts aux États-Unis.

Craintes de cacophonie européenne

Les entreprises high-tech craignent toutefois que les plans des autorités de régulation allemandes n’aillent pas de pair avec ceux des autorités d’autres pays européens.

>> Lire : Données personnelles : « Les citoyens sont désarmés face aux géants du Net »

« L’annonce des autorités allemandes est en totale contradiction avec l’approche commune des États membres que nous attendions et avec les décisions du Groupe de travail ‘Article 29’ », a déclaré John Higgins, directeur général de DigitalEurope. Ce groupe de travail regroupe les représentants des autorités nationales chargées de la protection des données, du Contrôleur européen de la protection des données et de la Commission européenne.

« Les restrictions placées sur des options telles que le contenu ne sont pas réalisables en pratique. Nous ne savons pas comment les petites et moyennes entreprises opérant en Allemagne pourront continuer leurs activités commerciales avec ces nouvelles restrictions », a ajouté John Higgins.

L’autorité de protection des données d’Hambourg a annoncé le 26 octobre qu’elle contrôlerait les entreprises basées dans l’État de Hambourg pour vérifier qu’elles n’ont plus recours à l’accord sur la sphère de sécurité depuis que ce dernier a été invalidé. Facebook et Google ont leur siège allemand à Hambourg.

Serveurs uniquement européens

« Quiconque veut éviter les conséquences politiques et juridiques de ce jugement doit, à l’avenir, envisager de stocker les données personnelles sur des serveurs uniquement européens », a déclaré Johannes Caspar, le régulateur de la ville.

Pour DigitalEurope, établir des restrictions pour ne pas que les données sortent de l’UE sera un coup dur pour les entreprises.

« La localisation des données n’est clairement pas une solution au problème de la surveillance, qui doit être résolu lors de négociations entre gouvernements », a conclu John Higgins.

>> Lire : Les eurodéputés réclament aussi un nouvel accord de Safe Harbor

Contexte

Les règlementations européennes sur la protection des données ont été adoptées en 1995, alors qu’Internet n’en était encore qu’à ses balbutiements.

En janvier 2012, la Commission européenne a publié un vaste paquet législatif visant à remplacer les règles existantes et à assurer une meilleure protection des données personnelles à travers l’Union européenne.

Ce paquet comprend deux propositions législatives : un règlement général sur la protection des données (directement applicable dans tous les États membres) et une directive spécifique sur la protection des données dans les domaines de la police et de la justice (à transposer dans le droit national).

Le débat sur la protection des données personnelles a pris un nouveau tournant suite aux révélations concernant la surveillance et les écoutes américaines.

Le « lanceur d’alerte » Edward Snowden a révélé en 2013 que la NSA disposait d’une autorité secrète à grande échelle pour espionner les courriels et les communications sur Internet en utilisant un programme d’extraction de données appelé PRISM.

Les responsables politiques européens ont vivement réagi à ces nouvelles et ont appelé à des mesures plus strictes pour garantir la sauvegarde de la vie privée.