La Cour de Justice européenne a suivi les conclusions de l’Avocat Général préconisant la suspension de l’accord Safe Harbor entre l’Union européenne et les Etats-Unis. Une décision qui va rendre plus difficile le transfert des données entre les deux continents.
Pour la Cour de Luxembourg, les autorités de protection des données personnelles doivent conserver leur pouvoir de contrôle et de sanction sur la manière dont les données personnelles des Européens sont traitées.
Les juges ont estimé que la mise à disposition des données personnelles des Européens aux agences de renseignement américaines portait «atteinte au contenu essentiel du droit fondamental au respect de la vie privé».
La Cour de Luxembourg pointe également le fait que les citoyens européens, par définition, ne disposent d’aucun recours pour protester contre l’utilisation de leurs données personnelles aux Etats-Unis. Ce faisant, les juges écornent sévèrement la Commission, qui a noué le Safe Harbor avec les Etats-Unis : «La Commission était tenue de constater que les Etats-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union. La Cour relève que la Commission n’a pas opéré un tel constat.»
Par la voix de sa représentation auprès de l’Union européenne, les Etats-Unis avaient, avant même la décision de la Cour, nié pratiquer une surveillance massive des données des Européens et affirmé que les outils à disposition de leurs agences de renseignement étaient utilisés avec mesure.
La fin du Safe Harbor va certainement compliquer la tâche de plusieurs entreprises américaines. Mais il existe d’autres instruments pour les transferts de données, notamment les BCR (Binding Corporate Rules), un code de bonne conduite via lequel les entreprises garantissent contractuellement un niveau de protection suffisant aux données personnelles qu’ils veulent traiter ailleurs que dans l’Union européenne. Ces BCR doivent être validés par les 28 autorités de protection des données. Plusieurs entreprises ont ainsi établi des BCR, dont d’importants acteurs comme HP, mais pas Facebook par exemple. Il existe aussi des clauses contractuelles types soutenues par la Commission européenne. Malgré tout, la suspension du Safe Harbor va alourdir les procédures.
Un effet de la décision, l’accélération de la création de data centers en Europe. Outre Google et Amazon, Oracle et Salesforce.com ont franchi le pas. Reste maintenant à connaître l’issue d’un autre conflit, celui entourant le Patriot Act qui oblige les fournisseurs américains de cloud à transmettre des données personnelles stockées dans un data center en Europe. Microsoft est toujours en appel…
