May not be so safe after all !De vives tensions au point que la commissaire Cecilia Malmstöm a pu dire qu’elles menaçaient la coopération en matière de lutte contre le terrorisme. Les principes de la Sphère de sécurité (Safe Harbor) permettent à une entreprise américaine de certifier qu’elle respecte la législation de l’Union européenne (UE) et aussi de l’Espace économique européen (EEE) afin d’obtenir l’autorisation de transférer des données personnelles vers les États-Unis. Le président Obama a gardé un silence absolu à son sujet dans son discours du 17 janvier où il a exposé les plans de réforme des pratiques de surveillance (cf. l’article de Géraldine Magalhàes).
Quelques principes et leur mise en application. La Directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998, interdit le transfert de données personnelles en dehors des États non membres de l’EEE qui protégeraient les données personnelles à un niveau inférieur à celui de l’EEE. Les États-Unis d’Amérique et l’EEE partagent l’objectif d’améliorer la protection des données de leurs concitoyens, mais n’abordent pas ce thème de la même manière. C’est le moins que l’on puisse dire tant les cultures et les pratiques diffèrent profondément entre les deux rives de l’Atlantique. Un point essentiel du différend qui oppose l’Europe aux Etats-Unis en matière de protection des données personnelles
Afin de faire la passerelle entre ces deux approches de respect de la vie privée et permettre aux entreprises et organisations américaines de se conformer à la Directive européenne, le Département du Commerce des États-Unis, en concertation avec la Commission européenne, a instauré un cadre juridique dénommé Safe Harbour (Sphère de sécurité). L’arrangement porte sur les points suivant :
-. Notification – Les individus doivent être informés du fait que leurs données sont collectées et de la façon dont ces données vont être utilisées.
-. Choix – Les individus doivent avoir la possibilité de refuser que les données les concernant soient transférées à des tiers ou utilisées dans un but autre que celui auquel la personne a consenti précédemment.
-. Transfert à des tiers – Le transfert de données à de tierces parties ne peut se faire que vers un tiers garantissant le même niveau de respect des principes de protection de données personnelles
-. Sécurité – L’entreprise prendra les mesures nécessaires pour protéger les informations collectées contre la suppression, le mauvais usage, la divulgation ou l’altération de ces données.
-. Intégrité des données – L’entreprise s’engage à n’utiliser les données collectées que dans le but pour lequel l’utilisateur a donné son accord.
-. Accès – Les individus doivent pouvoir accéder aux informations les concernant, et pouvoir les corriger ou les supprimer s’ils le souhaitent.
-. Application – L’entreprise mettra tout en oeuvre pour que ces règles soient effectivement appliquées et contrôlera leur respect.
-. Certification-Après avoir été certifiée, l’entreprise doit être à nouveau certifiée tous les douze mois. Elle peut soit contrôler elle-même qu’elle se conforme à ces principes, ou faire appel à un tiers pour effectuer cette évaluation. Ce processus de contrôle exige que les employés l’effectuant soient dûment formés et qu’un dispositif permettant de gérer les éventuels litiges soit mis en place. La Federal Trade Commission contrôle ce programme. En 2009, la Federal Trade Commission a lancé sa première action en justice contre une entreprise californienne (Balls of Kryptonite), accusée d’avoir enfreint les règles du Safe Harbour, et a engagé des procédures transactionnelles avec d’autres. L’accord Safe Harbor regroupe aujourd’hui presque 4000 entreprises américaines, dont entre autres Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard et Facebook2.
Le Parlement européen insiste sur la suspension de l’accord. Les députés européens ont, à nouveau appelé, le 15 janvier, lors d’un débat en plénière, la Commission européenne à suspendre « immédiatement l’accord. Mis en cause dans la foulée sur le scandale Prism puis sur les écoutes de l’Agence américaine de sécurité nationale (NSA), l’accord qui permet, rappellent les parlementaires aux grandes compagnies américaines telles que Google, AOL, ou Facebook d’utiliser les données personnelles des européens à condition de respecter les dispositions européennes en vigueur et au premier chef la Directive cadre 95/46/CE.
Le Parlement européen à nouveau demande la suspension du Safe Harbour. Les diverses et nombreuses révélations sur les moyens utilisés par la NSA pour avoir accès aux données via, notamment ces compagnies ont rendu cet accord caduc aux yeux de la plupart des députés. Les groupes PPE, S&D,ADLE, Verts/ALE et GUE/NGL se sont prononcés pour une suspension de cet accord. Cette demande se trouve très explicitement formulée dans le rapport de Claude Moraes relatif à la « surveillance de masse » qui sera voté fin janvier par la commission LIBE et en février en plénière du Parlement européen. C’est dans cette perspective que le groupe libéral avait demandé un débat. Le groupe voulait aussi que la Commission européenne détailler les demandes adressées, le 27 novembre dernier, à Washington pour remédier aux lacunes.
Viviane Reding est venue,le 15 janvier, présenter les 13 recommandations envoyées aux autorités américaines et dont elle attend l’exécution pour l’été 2014. Elle s’est déclarée, puisque engagée dans des discussions, peu enthousiaste à l’idée à, la suppression du Safe Harbour, suppression qui, a-t-elle à nouveau expliqué, pourrait pénaliser directement les entreprises américaines. Dans le passé elle s’est montrée plus ferme dans ses déclarations quant à la suspension éventuelle. Plusieurs députés, dont Sophie in’t Veld (ADLE) le calendrier est trop long : il faudrait suspendre le Safe Harbour et parvenir à une solution qui protège pleinement les citoyens européens et cela d’ici les prochaines élections.
Sur ce plan comme sur beaucoup d’autres le discours de Barack Obama est décevant et compte tenu de la teneur de ce discours, il est difficile d’imaginer un changement rapide de sa position. Les grondements croissants du Parlement européen n’y changeront rien, semble-t-il.
Henri-Pierre Legros
Pour en savoir Plus :
-. Site officiel américain du Safe Harbour http://export.gov/safeharbor/
-. Frequently asked questions (FAQ) http://export.gov/faq/index.asp
-. Directive 95/46/CE sur la protection des données à caractère personnel du 24 octobre 1995 (FR) http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=fr&type_doc=Directive&an_doc=1995&nu_doc=46
(EN) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1995:281:0031:0050:EN:PDF
-. Commission européenne : « How will the « Safe Harbour » arrangement for personnal data transfers to the US work?” http://ec.europa.eu/justice/policies/privacy/thridcountries/adequacy-faq1_en.htm
-. Cnil: Tout savoir sur le “Safe Harbour” http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/safe-harbor/
-. Informal Justice Council in Vilnius; Press release http://europa.eu/rapid/press-release_MEMO-13-710_fr.htm
-. The Guardian, NSA surveillance: Europe threteans to freeze US data sharing arrangements http://www.theguardian.com/world/2013/nov/26/nsa-surveillance-europe-threatens-freeze-us-data-sharing
-. US should implement the recomandations or Commission could decide to suspend Safe Harbour, Reding said http://www.bna.com/european-commission-responds-n17179880409/