En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour un salon de coiffure
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de pneus
    < 4 000 €
    > En savoir plus
  • Création de site Internet vitrine pour un menuisier
    <1000 €
    > En savoir plus
Schneider_SMARTBUNKER_leaderboard

Le Safe Harbor « invalidé » : historique des faits, décryptage et impacts de la décision

Schneider_SMARTBUNKER_pavé

Garance Mathias, avocat à la Cour, revient sur l’invalidité de Safe Harbor. Historique des faits, décryptage de la décision et de ses conséquences. www.avocats-mathias.com.

 

Alors qu’elles étaient attendues en juin, les conclusions de l’avocat général Yves Bot ont été rendues le 23 septembre dans l’affaire Schrems. Il conclut à l’invalidité de la sphère de sécurité (ou Safe Harbor) instaurée par décision de la Commission européenne le 26 juillet 2000. Il souligne par ailleurs que les autorités de protection des données à caractère personnel ont le pouvoir de suspendre les transferts vers les États-Unis.

Les faits

Dans le contexte des révélations sur l’affaire « PRISM » impliquant la NSA, Monsieur Schrems, utilisateur autrichien du réseau social Facebook, avait saisi le Commissaire à la protection des données irlandais d’une plainte considérant que la législation outre-Atlantique n’offrait pas une protection suffisante des données personnelles des citoyens européens stockées aux États-Unis.

Cette plainte avait été rejetée, le Commissaire à la protection des données la considérant comme infondée. Il avait également estimé ne pas avoir à l’instruire compte tenu de la décision 2000/520 du 26 juillet 2000 par laquelle la Commission européenne a reconnu le caractère adéquat du niveau de protection assuré par la législation américaine dans le cadre de la sphère de sécurité.

La Haute Cour de justice irlandaise, saisie par Monsieur Schrems d’un recours contre la décision de refus de l’autorité de protection, avait alors posé une question préjudicielle à la Cour de justice de l’Union européenne en juillet 2014. La Cour de Luxembourg était invitée à préciser si la décision d’adéquation adoptée par la Commission pouvait avoir pour effet d’empêcher une autorité nationale de protection des données personnelles d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.

La position de l’avocat général

La position de l’avocat général s’articule autour de deux points : l’indépendance des autorités de contrôle nationales et le contexte dans lequel la sphère de sécurité est mise en œuvre.

Ainsi, sans nier l’étendue de la compétence de la Commission européenne qui, rappelons-le, peut, en vertu de l’article 25§6 de la directive 95/46/CE, constater le niveau de protection adéquat assuré par un pays tiers à l’Union européenne, l’avocat général indique que « si les autorités nationales de contrôle étaient liées de manière absolue par les décisions adoptées par la Commission, cela limiterait inévitablement leur totale indépendance. ». Cela signifie que la décision de la Commission européenne ne saurait faire obstacle aux missions reconnues aux autorités de contrôle nationales et notamment à leur pouvoir de contrôle de la bonne application de la réglementation conformément à l’article 28 de la directive précitée. En conséquence, la décision du 26 juillet 2000 scellant l’accord sur la sphère de sécurité devrait pouvoir faire l’objet d’un examen par une autorité de contrôle nationale.

L’avocat général a également examiné la validité de la sphère de sécurité en procédant à un contrôle de proportionnalité. Sur ce point, il conclut que l’ingérence dans les droits fondamentaux des citoyens, constituée par le large accès aux données personnelles des citoyens européens dont bénéficient les services de renseignement américains, est disproportionnée dans la mesure où la surveillance n’est absolument ciblée.

Avant le 6 octobre, date à laquelle la Cour de justice de l’Union européenne a rendu son arrêt, l’ambassadeur des États-Unis auprès de l’Union européenne formulait d’ores et déjà quelques regrets. Selon lui, l’avocat général aurait dû prendre en compte l’action du président Obama qui, depuis deux ans, aurait pris des mesures afin que les pratiques des agences américaines de renseignement soient plus transparentes.

La décision de la Cour sur la validité du Safe Harbor

La CJUE a invalidé la décision par laquelle la Commission européenne avait constaté que les États-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées.

La CJUE rappelle en effet que « l’Union est une Union de droit dans laquelle tout acte de ses institutions est soumis au contrôle de la conformité avec, notamment, les traités, les principes généraux du droit ainsi que les droits fondamentaux (…). Les décisions de la Commission (…) ne sauraient donc échapper à un tel contrôle. »

La Cour reconnaît également que « le niveau de protection assuré par un pays tiers est susceptible d’évoluer ». Dès lors, « il incombe à la Commission (…) de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. ». Et la Cour d’ajouter qu’une « telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard. ».

Les impacts de l’invalidation du Safe Harbor

La suspension du Safe Harbor aurait pour conséquence immédiate de porter un coup d’arrêt au transfert systématique des données personnelles des utilisateurs du réseau social Facebook aux États-Unis. Plus largement, les transferts de données vers les datacenters aux États-Unis auxquels procèdent les grandes entreprises américaines devraient cesser.

Toutefois, rappelons que des outils existent afin de permettre le transfert de données dans des pays tiers à l’Union européenne ne bénéficiant pas d’une décision d’adéquation de la Commission européenne (clauses contractuelles types ou, au sein d’un groupe, des règles internes d’entreprise).

Il convient de rappeler que ces conclusions s’inscrivent dans un mouvement initié en 2013. En novembre 2013, la Commission européenne appelait les États-Unis à rétablir la confiance dans les transferts de données personnelles entre outre-Atlantique. L’Union européenne et les États-Unis s’engageaient ensuite, en mars 2014, à renforcer le cadre juridique de la sphère de sécurité dans une déclaration conjointe.

On peut donc présager que cette affaire influencera les négociations en cours sur la sphère de sécurité. La protection des données personnelles des citoyens européens est solidement renforcée.

Le Safe Harbor « invalidé » : historique des faits, décryptage et impacts de la décision
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Amazon : Bruxelle veut mettre au pas le géant américain - 250 M € à rembourser

    Bruxelles inflige aujourd'hui une amende de plusieurs centaines de millions d'euros à Amazon, alors que…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Les attaques IoT vont augmenter, prédit NordVPN

    Pour Marty P. Kamden, directeur marketing de NordVPN, un fournisseur de VPN (réseaux privés virtuels)…

    > En savoir plus...
Etudes/Enquêtes
  • Edition, conseil, services : une croissance record de 3,4 %

    Le Syntec Numérique a livré ses chiffres pour 2017 et 2018. Editeurs, sociétés de conseils…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
elo_processus pointe_skyscraper