Andy Dean - Fotolia
Safe Harbor invalidé, quelles conséquences ?
La toute récente invalidation de l’accord de libre circulation des données personnelles au travers de l’Atlantique place de nombreuses entreprises face à une situation de vaste incertitude juridique.
La Cour de justice l’Union européenne (CJUE) vient d’invalider le fameux accord Safe Harbor de libre circulation des données personnelles entre l’Europe et les Etats-Unis.
Dans un communiqué, la Quadrature du Net se réjouit de ce jugement : « cet accord […] autorisait le traitement par les entreprises américaines des données des citoyens européens, avec des garanties encore plus faibles que celles existantes en Europe ». Pour l’association, cette décision montre que « les conditions de transfert des données personnelles doivent être revues » et met « les autorités de régulation [locales, NDLR] en capacité d’examiner les demandes individuelles contre le transfert de ces données ».
Dans une déclaration adressée par e-mail, le cabinet Pinsent Masons affiche une position plus réservée. En particulier, il qualifie de « surprenante » une décision qui met en avant la liberté d’action des autorités nationales, alors qu’un accord comme le Safe Harbor vise à « harmoniser les législations européennes en matière de données personnelles ».
Pour BMC, la décision de la CJUE envoie surtout un message technique aux entreprises. Jonathan Perez, son Global Privacy Officer, estime ainsi que « l’industrie informatique doit embrasser le changement et progresser en matière de standards de protection. Ce n’est que par ce biais qu’un climat de confiance pourra être réinstauré à la fois chez les particuliers et au sein des entreprises, au bénéfice de l’économie numérique dans son ensemble ». Mais dans un communiqué, Laurent Baudart, délégué général de Syntec Numérique, s’inquiète que « cette décision risque de mettre en péril l’intégralité des échanges entre l’UE et son premier partenaire économique », les Etats-Unis.
Et ce n’est pas le seul. Dans un billet de blog, Jay Heiser, vice-président recherche chez Gartner, souligner que l’accord concernait quelques 4500 services en ligne américains… et leurs clients : « des centaines de millions de citoyens européens partagent largement leurs données privées via Facebook et en sont heureux, quel que soit l’endroit où leurs données sont stockées ». Et d’indiquer douter que « l’opinion publique européenne sera heureuse de toutes les implications de cette décision ».
Alors pour l’analyste, il « semble inconcevable que les internautes européens veuillent couper leurs liens numériques avec les Etats-Unis », mais tout aussi « improbable que quelqu’engagement contractuel puisse pleinement protéger les droits européens de la réalité de la surveillance américaine ».
De son côté, Christopher Jeffery, directeur du cabinet juridique Taylor Wessing, explique que les implications sont susceptibles d’être importantes : « il y a des alternatives au Safe Harbor, mais pour la plupart des entreprises, leur mise en place nécessite temps et argent ». Alors pour lui, le message aux entreprises est simple : « il faut s’y mettre tout de suite » et, « par exemple, faire signer des clauses types, avec les filiales et les prestataires tiers clés. Cela devrait être relativement simple et aider à montrer que le sujet est pris au sérieux ». En clair : « misez sur ce qui offre des résultats rapides pour montrer un désir d’aller vers une totale conformité ».
Mike Fey, président et directeur des opérations de Blue Coat, relève que « certaines entreprises seront en position idéale pour s’adapter à ces nouvelles exigences », mais pas toutes. Et si l’on pense aux prestataires de service en ligne, en fait, toute entreprise américaine ayant des employés, des clients ou des partenaires dans l’Union européenne est concernée.
Robert Lands, du cabinet Howard Kennedy, relève par exemple que « les entreprises européennes utilisant des logiciels supportés depuis les Etats-Unis devoient être prudentes. Des accès distants permettent souvent à un technicien de voir les données personnelles aux Etats-Unis ; un transfert de données personnelles peut ainsi survenir ».
Alors pour Mike Fey, il y a là un risque « d’impact fort sur l’investissement et la performance financière », mais également d’effet boule de neige : « cela va se propager. Avec les pays qui vont prendre l’exemple ou contre-attaquer, toutes les entreprises devraient être préparées au fait que cela devienne un problème beaucoup plus vaste au fil du temps ».
Mais pour Bharat Mistry, ce sont d’abord les start-ups de niche et les entreprises hors de l’Union européenne qui risquent de souffrir le plus de cette décision. Interrogé à ce sujet, Dropbox indique de manière relativement lapidaire « examiner avec une grande attention » la décision de la CJUE et s’engager « à garantir la sécurité et la confidentialité des données privées de ses utilisateurs ».
Avec nos confrères de ComputerWeekly (groupe TechTarget).
Pour approfondir sur Réglementations et Souveraineté
-
Data privacy Framework : un accord qui passe difficilement en Europe
-
Nouvelles CCT de la Commission européenne : les DPO n’y trouvent pas leur compte
-
Nouvelles Clauses Contractuelles Types : les conséquences pour les entreprises européennes
-
Le CLOUD Act américain est-il réellement dangereux pour les clients européens ?