La Commission promet un nouveau Safe Harbor pour début 2016

Commission Vice President Andrus Ansip and Justice Commissioner Vera Jourova

Le vice-président de la Commission, Andrus Ansip, et la commissaire à la Justice, Vera Jourova. [European Commission]

La Commission européenne souhaite conclure un nouvel accord sur le partage des données avec les États-Unis le plus rapidement possible, et au plus tard en février 2016.

« Je pense que l’Europe et les États-Unis ont tous les outils nécessaires pour parvenir à un nouvel accord dans les trois prochains mois », a déclaré un des vice-présidents de la Commission, Andrus Ansip, le 6 novembre, en insistant sur le fait que l’exécutif avait besoin d’une solution imparable.

Les fonctionnaires européens ont accéléré les négociations avec leurs homologues américains pour remplacer l’accord sur la sphère de sécurité (Safe Harbor en anglais), jugé illégal le 6 octobre dernier par la Cour de justice de l’Union européenne (CJUE). Le Safe Harbor permettait aux plus de 4 000 entreprises signataires de transférer des données légalement de l’Union européenne vers les États-Unis.

Cette semaine, la commissaire européenne à la Justice, Vera Jourova, rencontrera des responsables américains pour discuter d’un nouvel accord lors d’une visite à Washington.

La commissaire a déclaré qu’elle rencontrerait aussi les sénateurs américains qui voteront le Judicial Redress Act, qui pourrait donner aux citoyens européens les mêmes droits que les Américains si leurs données sont mal gérées.

Suite au verdict de la CJUE, la Commission s’est empressée d’assurer aux entreprises européennes qu’elles pouvaient toujours transférer des données vers les États-Unis en utilisant d’autres moyens légaux, tels que des clauses contractuelles types ou des règles d’entreprises contraignantes. Les membres du groupe de travail « article 29 », constitué des autorités nationales sur la protection des données, ont promis le mois dernier lors d’une séance plénière de réviser ces outils. Les autorités nationales se rencontreront à nouveau en janvier.

Le 6 novembre, la Commission a publié une série de lignes directrices sur ces mesures. Selon Andrus Ansip, elles permettent « d’éclaircir nos entreprises » sur la manière de continuer à transférer des données aux États-Unis.

La Commission rappelle qu’il existe des alternatives valides au Safe Harbor. En dernier recours, les entreprises pourraient transférer des données personnelles vers les États-Unis si elles ont le consentement clair de la personne pour le transfert de ses données.

Pour Guido Lobrano, directeur adjoint des affaires juridiques chez BusinessEurope, une association professionnelle, ces lignes directrices ne comportent aucune surprise.

« Il n’y a pas non plus de coordination à l’échelle européenne, or, c’est ce que nous demandions », a indiqué Guido Lobrano.

En effet, le verdict de la CJUE donne aux autorités nationales de protection des données le pouvoir de statuer sur des affaires de protection de la vie privée. La Commission encourage les autorités nationales à décider de la manière dont elles traiteront le transfert de données, mais son pouvoir d’influence sur les responsables indépendants des affaires de protection des données est limité. 

>> Lire : Données personnelles : « Les citoyens sont désarmés face aux géants du Net »

La semaine dernière, les autorités allemandes de protection des données ont annoncé qu’elles ne permettraient plus le transfert de données vers les États-Unis, même dans le cadre des clauses contractuelles types et des règles d’entreprises contraignantes.

Les nombreuses entreprises qui se sont plaintes de la décision de la CJUE, arguant que cette dernière allait nuire aux affaires, ont affirmé qu’un accord global pour remplacer la sphère de sécurité était le seul moyen de transférer des données à l’échelle permise par le premier accord. Les entreprises considèrent que les autres outils sont plus compliqués, couteux et résulteraient en la signature de plusieurs accords pour le transfert de leurs données.

Selon Guido Lobrano, le projet de la Commission de conclure ces négociations en trois mois est trop lent.

 « L’exécutif devrait être un peu plus ambitieux. L’objectif devrait être d’avoir un accord avant Noel pour établir un nouveau cadre réglementaire début 2016 », a-t-il déclaré.

>> Lire : Les eurodéputés réclament aussi un nouvel accord de Safe Harbor

Les responsables de la DG Justice de la Commission rencontrent aujourd’hui (9 novembre) des représentants de BusinessEurope et d’autres associations professionnelles avant le voyage de Vera Jourova à Washington.

Selon les lignes directrices, la Commission débutera des évaluations périodiques des accords en cours avec 11 autres pays, dont le Canada, la Suisse et Israël, qui veulent élever leurs lois sur la protection des données au niveau des normes européennes. Un changement dans ces accords pourrait aussi modifier la légalité des transferts de l’UE vers ces pays.

Selon la Commission, des entreprises ont commencé à investir dans des centres de stockage de données dans l’UE avant même que la CJUE prononce son verdict. Suite à l’annonce des autorités allemandes la semaine dernière, des groupes d’entreprise ont fustigé l’autorité d’Hambourg, qui conseillait aux entreprises de stocker des données européennes dans l’UE.

>> Lire : La CNIL allemande interdit aux géants du net de stocker leurs données hors d’Europe

Contexte

Les règlementations européennes sur la protection des données ont été adoptées en 1995, alors qu’Internet n’en était encore qu’à ses balbutiements. En janvier 2012, la Commission européenne a publié un vaste paquet législatif visant à remplacer les règles existantes et à assurer une meilleure protection des données personnelles à travers l’Union européenne.

Ce paquet comprend deux propositions législatives : un règlement général sur la protection des données (directement applicable dans tous les États membres) et une directive spécifique sur la protection des données dans les domaines de la police et de la justice (à transposer dans le droit national).

Le débat sur la protection des données personnelles a pris un nouveau tournant suite aux révélations concernant la surveillance et les écoutes américaines. Le « lanceur d’alerte » Edward Snowden a révélé en 2013 que la NSA disposait d’une autorité secrète à grande échelle pour espionner les courriels et les communications sur Internet en utilisant un programme d’extraction de données appelé PRISM. Les responsables politiques européens ont vivement réagi à ces nouvelles et ont appelé à des mesures plus strictes pour garantir la sauvegarde de la vie privée.

En octobre 2015, la Cour de justice de l’UE a décidé que l’accord sur la sphère de sécurité, Safe Harbor, conclu entre les États-Unis et l’UE et qui permet aux entreprises de transférer des données vers des serveurs par-delà l’Atlantique. Les juges estiment en effet que la protection des données aux États-Unis n’est pas suffisante au regard du droit européen, étant donné que les services de renseignement américain y ont accès trop facilement.