Safe Harbor : la question de la protection des données personnelles au-delà des frontières

Les données sont devenues essentielles à la nouvelle économie. Impossible pour une entreprise de faire l’impasse si elle veut tirer son épingle du jeu. Dans une économie largement mondialisée ou les biens, la monnaie et les personnes circulent, les données sont tentées de les suivre. On entrevoit les possibilités des algorithmes et de l’intelligence artificielle pour exploiter toutes ces données mais dans le même temps on s’inquiète légitimement de la protection de notre vie privée et de nos données personnelles. Protéger la vie privée sans brider l’économie de la donnée, c’est un peu le casse-tête auquel on assiste avec l’invalidation de Safe Harbor

Safe harbor bateaux

Difficile pour de simples citoyens comme vous et moi de s’y retrouver. Nous confions en permanence des données personnelles de notre plein gré ou à notre insu à des sites marchands et des réseaux sociaux. Nous en prenons conscience sans savoir réellement l’utilisation qui est faite de nos données et des meta data qui les accompagnent.

L’invalidation du Safe Harbor le 6 octobre 2015 par la cour de justice de l’union européenne CJUE met en lumière l’enjeu et la complexité de la protection des données dans l’économie moderne. Je dois avouer que je n’ai su que Safe Harbor existait qu’à l’annonce de son invalidation. Cela m’a donné l’envie d’en savoir plus et de partager ma compréhension du sujet dans ce billet en rappelant toutefois que je ne suis pas un spécialiste de ces questions particulièrement pointues. Je renvoie donc vers les sites spécialisés pour ceux qui ont besoin d’avis juridiques qualifiés.

Une directive européenne pour protéger les droits et les libertés des personnes lors d’un traitement de données à caractère personnel. En 1995 l’union Européenne avait identifié le besoin de protéger la vie privée des citoyens en restreignant la diffusion des données personnelles. C’est l’objet de la directive 95/46/CE qui autorise des pays tiers à recevoir des données en provenance de l’Union Européenne à condition de justifier d’un système de protection adéquat.

Protéger les droits et les libertés des personnes par rapport au traitement de données à caractère personnel c’est l’objectif de la directive. Pour le faire la directive établit des principes relatifs à la légitimation des traitements de données  ( lire le chapitre 2, section II article 7 de la directive):

  • Consentement indubitable
  • Traitement nécessaire à l’exécution d’un contrat
  • respect d’une obligation légale à laquelle le responsable du traitement est soumis
  • sauvegarde de l’intérêt vital de la personne concernée
  • Exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
  • Intérêt légitime poursuivi par le responsable du traitement ou par le tiers, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée

Et la personne concernée peut exercer ses droits en ce qui concerne

  • le droit d’obtenir des informations
  • le droit d’accès aux données
  • le droit d’opposition aux traitements de données Les autorités publiques américaines peuvent accéder de manière massive aux données transférées.

Le transfert des données personnelles vers un pays hors de l’union Européenne impose au pays d’assurer un niveau de protection « adéquat » qui peut être constaté par la commission européenne.

Pour permettre le transfert de données des pays de l’union européenne vers les Etats Unis, un ensemble de principes de protection des données personnelles a été négocié entre les Autorités américaines et la Commission européenne en 2000. C’est ce qui a donné lieu au Safe Harbor (Sphère de sécurité en français). Cet accord permet de donner une certification de sécurité aux entreprises américaines qui en respectent les principes.  Pourtant malgré les négociations de 2000, l’accord Safe Harbor a été invalidé par la Cour de Justice de l’Union européenne (CJUE). Lire le communiqué de presse de la Cour de justice.

Pourquoi invalider Safe Harbor. A priori la confiance ne suffit pas. Sur le fond, la CJUE a relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. Le site de la CNIL nous livre quelques explications : la Cour de Justice de l’Union européenne (CJUE) a jugé que, pour se prononcer sur le niveau de protection assuré par la « sphère de sécurité », la Commission européenne ne pouvait se limiter à la seule analyse de ce régime, mais devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ».

Pour dire les choses plus simplement les transferts internationaux de données personnelles pouvaient garantir le respect des principes du Safe Harbor sans pour autant être conformes aux principes du droit des états membres de l’Union européenne. Du fait de cet arrêt l’autorité irlandaise de contrôle va pouvoir et devoir examiner la plainte de M. Schrems. Elle devra décider s’il convient de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis au motifs qu’ils n’offrent pas un niveau de protection adéquat des données personnelles

Safe harbor cnil

 Laissons les juristes se pencher sur la question. Le groupe des autorités européennes de protection des données (G29) a laissé trois mois à la Commission européenne et aux États-Unis pour trouver une alternative au Safe Harbor.

lire l’article de la CNIL sur l’invalidation du Safe Harbor par la cour de justice de l’Union Européenne.

 

 

 

 

Publicités

Une réflexion sur “Safe Harbor : la question de la protection des données personnelles au-delà des frontières

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s