En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 28/09/2017
    Journée de la Transition Numérique 2017

    La seconde Journée de la Transition Numérique eFutura se tiendra le jeudi 28 septembre 2017 à Paris.…

    en détail En détail...
  • 17/10/2017
    Mobility for Business

    7ème édition de Mobility for Business, le salon des solutions mobiles "pour une meilleure transformation…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour une boutique physique
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter
    < 7 000 €
    > En savoir plus
  • Migration de contenu vers un site catalogue Drupal 8
    Non Communiqué €
    > En savoir plus
kaspersky_attaques ciblees_leaderboard

Le Safe Harbor « invalidé » : historique des faits, décryptage et impacts de la décision

Microsoft_MS experience S1 TRUST_pave

Garance Mathias, avocat à la Cour, revient sur l’invalidité de Safe Harbor. Historique des faits, décryptage de la décision et de ses conséquences. www.avocats-mathias.com.

 

Alors qu’elles étaient attendues en juin, les conclusions de l’avocat général Yves Bot ont été rendues le 23 septembre dans l’affaire Schrems. Il conclut à l’invalidité de la sphère de sécurité (ou Safe Harbor) instaurée par décision de la Commission européenne le 26 juillet 2000. Il souligne par ailleurs que les autorités de protection des données à caractère personnel ont le pouvoir de suspendre les transferts vers les États-Unis.

Les faits

Dans le contexte des révélations sur l’affaire « PRISM » impliquant la NSA, Monsieur Schrems, utilisateur autrichien du réseau social Facebook, avait saisi le Commissaire à la protection des données irlandais d’une plainte considérant que la législation outre-Atlantique n’offrait pas une protection suffisante des données personnelles des citoyens européens stockées aux États-Unis.

Cette plainte avait été rejetée, le Commissaire à la protection des données la considérant comme infondée. Il avait également estimé ne pas avoir à l’instruire compte tenu de la décision 2000/520 du 26 juillet 2000 par laquelle la Commission européenne a reconnu le caractère adéquat du niveau de protection assuré par la législation américaine dans le cadre de la sphère de sécurité.

La Haute Cour de justice irlandaise, saisie par Monsieur Schrems d’un recours contre la décision de refus de l’autorité de protection, avait alors posé une question préjudicielle à la Cour de justice de l’Union européenne en juillet 2014. La Cour de Luxembourg était invitée à préciser si la décision d’adéquation adoptée par la Commission pouvait avoir pour effet d’empêcher une autorité nationale de protection des données personnelles d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.

La position de l’avocat général

La position de l’avocat général s’articule autour de deux points : l’indépendance des autorités de contrôle nationales et le contexte dans lequel la sphère de sécurité est mise en œuvre.

Ainsi, sans nier l’étendue de la compétence de la Commission européenne qui, rappelons-le, peut, en vertu de l’article 25§6 de la directive 95/46/CE, constater le niveau de protection adéquat assuré par un pays tiers à l’Union européenne, l’avocat général indique que « si les autorités nationales de contrôle étaient liées de manière absolue par les décisions adoptées par la Commission, cela limiterait inévitablement leur totale indépendance. ». Cela signifie que la décision de la Commission européenne ne saurait faire obstacle aux missions reconnues aux autorités de contrôle nationales et notamment à leur pouvoir de contrôle de la bonne application de la réglementation conformément à l’article 28 de la directive précitée. En conséquence, la décision du 26 juillet 2000 scellant l’accord sur la sphère de sécurité devrait pouvoir faire l’objet d’un examen par une autorité de contrôle nationale.

L’avocat général a également examiné la validité de la sphère de sécurité en procédant à un contrôle de proportionnalité. Sur ce point, il conclut que l’ingérence dans les droits fondamentaux des citoyens, constituée par le large accès aux données personnelles des citoyens européens dont bénéficient les services de renseignement américains, est disproportionnée dans la mesure où la surveillance n’est absolument ciblée.

Avant le 6 octobre, date à laquelle la Cour de justice de l’Union européenne a rendu son arrêt, l’ambassadeur des États-Unis auprès de l’Union européenne formulait d’ores et déjà quelques regrets. Selon lui, l’avocat général aurait dû prendre en compte l’action du président Obama qui, depuis deux ans, aurait pris des mesures afin que les pratiques des agences américaines de renseignement soient plus transparentes.

La décision de la Cour sur la validité du Safe Harbor

La CJUE a invalidé la décision par laquelle la Commission européenne avait constaté que les États-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées.

La CJUE rappelle en effet que « l’Union est une Union de droit dans laquelle tout acte de ses institutions est soumis au contrôle de la conformité avec, notamment, les traités, les principes généraux du droit ainsi que les droits fondamentaux (…). Les décisions de la Commission (…) ne sauraient donc échapper à un tel contrôle. »

La Cour reconnaît également que « le niveau de protection assuré par un pays tiers est susceptible d’évoluer ». Dès lors, « il incombe à la Commission (…) de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. ». Et la Cour d’ajouter qu’une « telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard. ».

Les impacts de l’invalidation du Safe Harbor

La suspension du Safe Harbor aurait pour conséquence immédiate de porter un coup d’arrêt au transfert systématique des données personnelles des utilisateurs du réseau social Facebook aux États-Unis. Plus largement, les transferts de données vers les datacenters aux États-Unis auxquels procèdent les grandes entreprises américaines devraient cesser.

Toutefois, rappelons que des outils existent afin de permettre le transfert de données dans des pays tiers à l’Union européenne ne bénéficiant pas d’une décision d’adéquation de la Commission européenne (clauses contractuelles types ou, au sein d’un groupe, des règles internes d’entreprise).

Il convient de rappeler que ces conclusions s’inscrivent dans un mouvement initié en 2013. En novembre 2013, la Commission européenne appelait les États-Unis à rétablir la confiance dans les transferts de données personnelles entre outre-Atlantique. L’Union européenne et les États-Unis s’engageaient ensuite, en mars 2014, à renforcer le cadre juridique de la sphère de sécurité dans une déclaration conjointe.

On peut donc présager que cette affaire influencera les négociations en cours sur la sphère de sécurité. La protection des données personnelles des citoyens européens est solidement renforcée.

Le Safe Harbor « invalidé » : historique des faits, décryptage et impacts de la décision
Notez cet article

Laisser un commentaire

AI Hackademy : l’intelligence artificielle au service de l’entreprise

L'évènement de MS Experiences'17, les 3 & 4 octobre. Découvrir l’intelligence artificielle : démos innovantes, expériences immersives au sein de l’AI Hackademy.

Agenda et inscription gratuite

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Le hacker de Deutsche Telekom condamné en Allemagne est extradé au Royaume-Uni

    Un hacker israélo-britannique accusé d'avoir attaqué deux banques britanniques et un fournisseur d'accès internet libérien,…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - SD-WAN : comment éviter les problèmes de déploiements en dix points clés 

    Une migration SD-WAN sans couture à l’heure du tout connecté ? Alexandre Chichkovsky, Global Network Evangelist…

    > En savoir plus...
Etudes/Enquêtes
  • Automatiser les processus RH : l'enjeu majeur des PME et ETI

    Quelles stratégies digitales RH chez les PME et ETI, ces organisations à taille humaine qui ne…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Microsoft_MS experience S1 AI_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Surveillance de réseau : un élément indispensable de la sécurité informatique

    > Voir le livre
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
Microsoft_MS experience S1 AI_skycraper