Safe Harbor et localisation des données

Un jeune Autrichien en 28 ans va-t-il faire plus pour la régulation du Cloud sur le Vieux Continent que la Commission Européenne depuis dix ans ?

L’activiste Maximilian Schrems, (en photo) déjà à l’origine de l’invalidation de l’accord dit Safe Harbor par la Cour de justice européenne (CJUE), ouvre un nouveau front, touchant cette fois à la localisation des données personnelles des citoyens européens.

Sa cible, une fois encore : Facebook.

Schrems demande cette fois à plusieurs CNIL en Europe d’ordonner au réseau social de conserver ses données sur le sol européen, arguant du fait qu’il n’existe plus (et pour cause) de cadre légal assurant le transfert de ses données sur le sol américain en toute sécurité. Pour ce faire, l’activiste a déposé deux nouvelles plaintes contre Facebook. La première auprès de l’autorité belge de protection des données, la seconde auprès de l’équivalent de la CNIL en Allemagne. Max Schrems a également mis à jour sa plainte auprès de l’autorité irlandaise, celle qui avait abouti à l’invalidation du Safe Harbor. Rappelons que Facebook opère ses activités hors des Etats-Unis depuis l’Irlande, raison pour laquelle Schrems avait choisi ce pays pour s’attaquer au réseau social. L’autorité irlandaise s’étant déclaré incompétente, la plainte avait été transmise à la CJUE qui avait fini par invalider le Safe Harbor, accord de 2001 autorisant les entreprises établies aux États-Unis, notamment les GAFA (Google, Apple, Facebook, Amazon), à recevoir des données en provenance de l’Union européenne dans un cadre légal. La CJUE a décidé de tirer un trait sur cet accord à la lumière des révélations d’Edward Snowden sur les programmes de surveillance de la NSA et sur la complicité des grands noms du Web – dont Facebook – à ces programmes.

Forcer la main des CNIL européennes

Cet accord n’existant plus, Max Schrems estime que les transferts de données vers les Etats-Unis violent la loi européenne, qui réclame que ces exports ne peuvent être effectués vers un pays offrant un niveau de protection inférieur à celui de la loi en place sur le Vieux Continent. Le jeune Autrichien se demande donc sur quelles bases légales sont assurés les transferts de ces données vers les États-Unis. Interpelé sur ce point le 12 octobre (quelques jours après la décision de la CJUE), Facebook a produit tardivement un accord contractuel, daté du 20 novembre 2015, passé entre sa filiale irlandaise et sa maison mère et encadrant les transferts d’informations entre les deux entités. « En plus de cet accord, Facebook Ireland se base sur un certain nombre d’autres moyens légaux pour transférer les données de ses utilisateurs aux Etats-Unis », assurent les avocats du réseau social, dans une lettre. Sans plus de précisions toutefois. Max Schrems conteste la légalité de ces accords, censés suppléer la disparition du Safe Harbor, au regard des révélations d’Edward Snowden sur des programmes de surveillance comme Prism.

Pour forcer les CNIL européennes à prendre ce qu’il estime être tirer les conséquences logiques de la décision de la CJUE, le jeune Autrichien pourra s’appuyer sur les fractures qui apparaissent entre ces différentes autorités de contrôle. Fin octobre, l’administration allemande a mis en doute la voie préconisée par la Commission européenne après la fin du Safe Harbor, soit la mise en place rapide d’alternatives basées sur des accords contractuels. Indiquant qu’elle bloquerait tout nouveau transfert de données exploitant ces mécanismes.

Conséquence, selon Johannes Caspar, le responsable allemand de la protection des données : « Quiconque souhaite échapper aux conséquences légales et politiques du jugement de la CJUE devrait dans le futur étudier le stockage des données personnelles uniquement sur des serveurs situés au sein de l’UE ».

Max Schrems explique que les plaintes déposés en Irlande, en Belgique et en Allemagne font partie d’un « premier round » ; d’autres devraient suivre dans d’autres juridictions européennes.

Dans un communiqué, l’activiste précise : « je n’ai aucune doute qu’une large majorité des autorités européennes de protection des données enquêteront correctement sur les plaintes et prendront les actions qui s’imposent. Néanmoins, dans un cas particulier, j’ai senti le besoin de clarifier le fait qu’une résistance délibérée à faire le travail pourrait avoir des conséquences personnelles pour les responsables concernés ».

Safe Harbor 2 dans l’urgence

Rappelons que, suite à l’invalidation du Safe Harbor, la Commission européenne a relancé dans l’urgence des négociations pour aboutir rapidement à un nouvel accord cadre. Ce Safe Harbor 2 devra répondre pleinement aux exigences de la CJUE, pour que le cadre résiste aux défis juridiques posés par les régulateurs en charge de la protection des données.

Réunis au sein du groupe des CNIL européennes (G29), ces derniers attendent des autorités européennes et américaines une solution « satisfaisante » avant le 31 janvier 2016. Nul doute que Max Schrems n’est de toute façon pas disposé à leur laisser davantage de temps.

Réagissez à cet article

Source : http://www.silicon.fr/max-schrems-le-tombeur-du-safe-harbor-sattaque-a-la-localisation-des-donnees-133129.html

Invalidation du Safe Harbor – Un résumé pour mieux comprendre l’initiative de Max Schrems

Max Schrems, dont la croisade contre le réseau social avait débuté alors qu’il était encore étudiant, accuse entre autres Facebook Ireland Ltd., la base européenne de l’entreprise, d’enfreindre le droit européen sur l’utilisation des données, et de participer au programme de surveillance Prism de la NSA, l’Agence de sécurité nationale américaine.

Toutes les données sont conservées
Au cours de ses études de droit, Max Schrems avait pu accéder à une compilation de ses données personnelles, soit 1 222 pages qui répertorient toutes ses activités sur Facebook, y compris ce qu’il pensait avoir supprimé. Le Viennois avait accusé en août 2011 le réseau social de détention abusive de données personnelles, déposant un recours comportant 22 réclamations devant l’Autorité de protection de la vie privée en Irlande (DPC), où l’entreprise américaine a son siège social européen. La DPC avait donné raison à l’étudiant et demandé à Facebook de clarifier sa politique sur les données privées.

Octobre 1987 : Naissance de Maximilian Schrems

08/2011 : Recours comportant 22 réclamations devant l’Autorité de protection de la vie privée en Irlande (DPC), où l’entreprise américaine a son siège social européen. La DPC avait donné raison à l’étudiant et demandé à Facebook de clarifier sa politique sur les données privées.

01/08/2014 : Dépôt par Maximilian Schrems devant le tribunal de commerce de Vienne d’un recours collectif contre Facebook ayant réuni 25 000 plaignants demandant chacun 500 euros de dommages et intérêts en réparation de l’utilisation présumée illégale de leurs données personnelles.

L’initiative « Europe vs Facebook » dirigée par Max Schrems réclame que le plus grand réseau social au monde « se mette enfin en conformité avec le droit, en ce qui concerne la protection des données ».

01/07/2015  : Rejet de la plainte contre Facebook. La cour a estimé qu’elle était irrecevable dans la forme et s’est déclarée incompétente sur le fond.

06/10/2015 : Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation  » Safe Habor  » permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé.
En conséquence, il n’est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.
La CNIL examine actuellement avec ses homologues au sein du G29 les conséquences juridiques et opérationnelles de cet arrêt. Des informations complémentaires seront mises en ligne très prochainement.

Accéder au jugement

La Cour européenne de justice pourrait-elle remettre en cause ce safe harbor ?
Tout est ouvert. La Cour peut limiter son jugement à la question préjudicielle posée ou lui donner une portée plus large, en se fondant sur l’article 8 de la Charte européenne des droits fondamentaux sur la protection des données à caractère personnel. L’avocat général Yves Bot est réputé pour appliquer le droit à la lettre, alors que le juge rapporteur, Thomas von Danwitz, est plutôt du côté des libertés civiles. Il est donc possible que la Cour ne suive pas l’avis de l’avocat général comme ça été le cas à propos de la rétention des données

Quelles pourraient être les solutions?
Il y a deux options. Dans un premier cas, les entreprises impliquées dans la surveillance de masse, Google, Microsoft, Facebook, Yahoo… ne pourraient plus transférer les données vers leurs data centers aux Etats-Unis, ce qui porterait un sérieux coup à leur business model. La question s’est déjà posée à propos de Swift, le système international de messagerie bancaire. La solution avait été de stocker les données européennes dans un data center en Suisse, ce qui les plaçaient hors de la juridiction américaine. Ce pourrait être une solution pour Microsoft et d’autres qui ont de toute façon déjà des centres en Europe, même s’il n’est pas facile à mettre en place techniquement.

Dans un second cas, les juges pourraient prendre en compte les autres mécanismes existants, en dehors du safe harbor, comme les clauses contractuelles dans lesquelles les entreprises s’engagent individuellement à respecter la législation européenne sur les données. C’est ce que fait EBay par exemple, qui n’est pas couvert par le safe harbor.

Quel serait l’impact pour les entreprises du net ?
Actuellement, les entreprises sont entre deux chaises : les autorités américaines exigent l’accès à toutes les données d’un côté et les Européens de l’autre, qui disent “non”. Elles suivent les exigences américaines parce que les conséquences juridiques d’un refus sont immédiates, alors que du côté européen, tout ce qu’elles risquent est un courrier…

A long terme, les entreprises ont intérêt à ce que cette question de juridiction soit résolue. Pour des raisons structurelles, elles tombent à la fois sous le coup de la législation américaine, parce que ce sont des entreprises américaines, et sous la juridiction irlandaise, indienne,… parce qu’elles y sont établies pour des raisons fiscales. Tout le monde a donc intérêt à ce que la Cour tranche.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Sources :
http://rue89.nouvelobs.com/2015/10/06/surveillance-max-schrems-heros-tres-discret-a-lombre-snowden-261526
http://www.lemonde.fr/pixels/article/2014/08/07/maximilian-schrems-le-but-est-de-faire-respecter-a-facebook-la-legislation-europeenne_4468090_4408996.html
http://www.usine-digitale.fr/article/rencontre-avec-le-juriste-qui-a-porte-plainte-contre-facebook-et-force-l-europe-a-trancher-sur-la-surveillance-de-masse.N351697

Protection des données personnelles entre l’Europe et les U.S. – Vers un Safe Harbor II

La Commissaire européenne à la Justice, aux Consommateurs et à l’Égalité des genres, Věra Jourová, s’est exprimée hier devant le Parlement européen sur les suites à donner à la décision de la CJUE sur le Safe Harbor. Avec quelques mots d’apaisement à l’égard de l’industrie, la Commission étant sur le point de publier un guide des transferts de données internationaux.

Plus important, la Commission est parvenue à un accord de principe avec le gouvernement américain, préalable à l’élaboration d’un Safe Harbor deuxième version. « Dans les prochaines semaines, nous poursuivrons d’intensives discussions techniques et nous avons accepté d’être en contact régulier avant mon départ pour Washington mi-novembre. Ces discussions ne sont pas aisées, mais je suis confiante dans le fait que, d’ici là, nous aurons déjà progressé » indique la Commissaire. N’imaginez pas que tout reviendra à la normal dès novembre. Cependant, le temps presse pour la Commission après l’ultimatum du G29.

Deadline au 31 janvier, l’horloge tourne

Věra Jourová rappelle que la Cour demande un niveau de protection qui ne soit pas identique à celui de l’UE, mais « globalement équivalent ». C’est exactement ce que la Commissaire recherche. Elle souligne par ailleurs les efforts faits par les Etats-Unis depuis deux ans, l’USA Freedom Act notamment, mais aussi les directives de Barack Obama pour étendre la protection des données personnelles sur le sol américain aux citoyens européens. C’est le sens du Bill on Judicial Redress, prochainement examiné par le Sénat US.

En outre, le Département du Commerce américain a promis une coopération accrue avec les Cnil européennes et le traitement prioritaire des plaintes par la FTC. « Cela va transformer le système de la pure auto-régulation à un système de supervision plus sensible, proactif et protecteur, par des mesures significatives, y compris des sanctions » explique la Commissaire. Que demander de plus ?

Révision annuelle

Un examen régulier du cadre juridique peut-être ? Banco ! L’UE et les Etats-Unis travaillent de concert à la mise en place d’un système « d’examen annuel commun », lequel couvrira l’ensemble des aspects du cadre juridique y compris, je cite, « les exemptions liées aux dispositions législatives ou aux motifs de sécurité nationale ». Reste encore à concrétiser ce Safe Harbor II et à le rendre conforme au droit européen.

Věra Jourová conclut  : « la finalisation de la Réforme de la protection des données est un facteur clé pour le marché unique numérique. Les nouvelles règles devront favoriser un cercle vertueux entre la protection des droits fondamentaux, la confiance des consommateurs et la croissance économique ». Autant dire que nous nous pencherons assidûment sur le contenu de ces discussions.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.linformaticien.com/actualites/id/38321/vers-un-safe-harbor-ii.aspx

par Guillaume Périssat

Facebook continuera à transférer tranquillement vos données aux Etats-Unis

Publié il y a quelques jours, l’arrêt de la cour de justice de l’Union européenne (CJUE) à propos de l’affaire Max Schrems contre Facebook agite les entreprises du web américaines, car il pourrait remettre en cause l’un des piliers de leurs business : les transferts de données personnelles entre l’Europe et les Etats-Unis.

Jusqu’à présent, ces flux étaient principalement effectués dans le cadre dit de la « sphère de sécurité » (ou « Safe Harbor »), un accord juridique qui permet aux sociétés américaines de transférer vers leurs centres de données aux Etats-Unis les données personnelles de leurs utilisateurs européens, sans grande difficulté. Car on estimait que leurs informations y bénéficiaient d’une protection similaire (ou « adéquate »).

Les transferts se feront différemment

Mais la CJUE n’est pas de cet avis, estimant qu’aux Etats-Unis, « les exigences relatives à la sécurité nationale… l’emportent ». En d’autres termes, la sphère de sécurité n’offrirait aucune garantie de protection face à la surveillance de masse de la NSA révélée par Edward Snowden. Le CJUE invalide donc le Safe Harbor.

Facebook, en revanche, ne s’inquiète pas trop de cette nouvelle donne et prévoit de continuer tranquillement ses transferts de données transatlantiques, comme avant. « Cet arrêt ne nous impacte pas », explique Stephen Deadman, directeur adjoint de la confidentialité des données chez Facebook, de passage à Paris. « Il y a d’autres mécanismes que le Safe Harbor pour transférer les données personnelles. Ils sont plus compliqués à mettre en place, mais nous avons les ressources pour le faire », ajoute-t-il.

GK – Stephen Deadman, directeur adjoint de la confidentialité des données chez Facebook

Ces mécanismes alternatifs – qui sont d’ailleurs proposés par les autorités européennes de protection des données personnelles – portent des noms barbares tels que « Clauses contractuelles type » ou « Corporate Binding Rules ». Ils obligent les entreprises à créer des procédures internes spécifiques pour assurer la protection des données personnelles: audit, formation, gestion des plaintes, etc. Pour des acteurs tels que Facebook ou Google, cela signifie avant tout plus de paperasse à gérer, ce qui est supportable.

Incompatibilité fondamentale

Pour les utilisateurs, en revanche, toute cette situation est loin d’être satisfaisante. Il est peu probable que ces mécanismes alternatifs apportent une « protection adéquate » compte tenu du caractère très intrusif du Patriot Act, la loi américaine qui autorise la surveillance de masse aux Etats-Unis. Leur validité juridique devrait donc, là aussi, être plutôt incertaine. Mais l’arrêt de la CJUE, malheureusement, ne s’exprime pas sur ce sujet.

A ce stade, on imagine mal comment un hypothétique Safe Harbor 2, qui doit être négocié entre l’Union européenne et les Etats-Unis, pourrait régler la situation. Car le problème fondamental, c’est l’incompatibilité entre les programmes de surveillance de masse américains et les droits fondamentaux garantis par le droit européen.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://hightech.bfmtv.com/internet/safe-harbor-facebook-continuera-a-transferer-tranquillement-vos-donnees-aux-etats-unis-920849.html

Les PME pourraient être victimes de la remise en cause du Safe Harbor

Mais ce n’est pas le seul moyen d’acheminer des données des deux côtés de l’Atlantique. Les entreprises américaines et européennes peuvent signer, entre elles, des clauses contractuelles standards. Elles peuvent aussi obtenir le consentement des utilisateurs, mais ce cas ne fonctionne que pour les entreprises s’adressant aux particuliers, pas aux professionnels. Enfin, elles peuvent demander une autorisation à la Cnil.

D’autres plaintes ?

Ces autres possibilités dressent en tout cas, en négatif, le portrait des probables « victimes » de ce nouveau flou : les petites et moyennes entreprises, européennes ou américaines, qui n’ont pas de service juridique fourni en interne pour pouvoir signer des clauses contractuelles ou s’occuper de la question rapidement. « Nous sommes inquiets. Pas forcément pour nous, car tous nos échanges sont régis par des contrats, mais pour les petites entreprises, qui n’ont pas de service juridique ou d’avocats pour s’occuper de ces sujets », confirmait il y a quelques jours Stephen Deadman, directeur adjoint de la vie privée chez Facebook, de passage à Paris.

Le cabinet d’avocats Bryan Cave, de son côté, a déjà reçu plusieurs dizaines de clients inquiets ces jours-ci. « C’est d’autant plus inquiétant que les entreprises françaises ont moins l’habitude, par rapport aux entreprises anglo-saxonnes notamment, de travailler avec des conseillers juridiques, affirme l’avocat Joseph Smallhoover, de Bryan Cave, qui conseille plusieurs sociétés américaines et européennes. Et ce sont ces mêmes PME qui sont le plus créatrices d’emplois. » Et ce n’est sans doute pas fini. « En affirmant que les Etats-Unis n’ont pas un niveau de protection suffisant, la Cour européenne de Justice ouvre aussi la voie à des attaques contre les clauses contractuelles », poursuit Joseph Smallhoover. C’est pour cette raison que les responsables politiques appellent, eux, depuis plusieurs jours, à fournir un nouveau cadre aux transferts de données. La ministre de la Justice Christiane Taubira a estimé vendredi qu’il fallait «  aller vite parce qu’on ne peut pas prendre le risque ni d’un vide juridique, ni d’un manque de protection, ni d’un manque de garanties par rapport à la circulation des informations. » Les négociations entre Europe et Etats-Unis pourraient bien s’accélérer.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.lesechos.fr/tech-medias/hightech/021393249999-les-pme-pourraient-etre-victimes-de-la-remise-en-cause-du-safe-harbor-1164083.php

Par Nicolas RAULINE

Décryptage du Safe Harbor

Le Safe Harbor en deux mots

Europe et États-Unis ont une vision différente de la protection des données personnelles des citoyens. Leurs politiques respectives en la matière sont donc divergentes. L’Europe interdit notamment le transfert des données personnelles vers des pays qui offrent un niveau de protection inférieur au sien (1). Pour ne pas priver les entreprises américaines de cet « or numérique » en provenance de l’Europe, le Département du Commerce des États-Unis (l’équivalent d’un ministère du Commerce) a concocté un cadre juridique qui légalise le transfert de données personnelles : le Safe Harbor, aussi appelé Sphère de sécurité. Les entreprises qui souhaitent en profiter doivent garantir certaines conditions (information des consommateurs sur l’exploitation de leurs données, droit de rectification, sécurité des données, etc.) et obtenir une certification. 4 000 entreprises américaines en sont titulaires, parmi lesquelles Microsoft, Amazon, Google ou encore Facebook.

De quelles données parle-t-on ?

Les données personnelles sont au centre de la plupart des modèles économiques des entreprises du Net. Vos achats, les messages que vous publiez sur les réseaux sociaux, vos habitudes de navigation sur Internet, les mots que vous saisissez dans les moteurs de recherche, ou bien encore les livres et les films que vous achetez en ligne sont autant d’indicateurs qui permettent de définir finement des profils de consommation et de vous envoyer des publicités ciblées, donc efficaces, donc vendues à prix d’or.

Quels sont les fondements de la décision de la CJUE ?

Tout est parti d’une plainte de Maximillian Schrems, un citoyen autrichien, auprès de l’autorité irlandaise de contrôle, l’Office of the Data Protection Commissioner, l’équivalent de notre Cnil (2). Maximillian Schrems utilise Facebook et sait qu’en vertu du Safe Harbor, ses données sont traitées aux États-Unis. Mais les révélations d’Edward Snowden, en 2013, sur la surveillance opérée par la NSA (National Security Agency) prouvent que le pays n’offre pas un niveau de protection suffisant des données. Or le Safe Harbor engage les États-Unis à fournir un niveau de protection au moins équivalent à celui de l’Europe.

La CJUE s’est prononcée sur deux points. D’abord, elle a confirmé qu’une autorité nationale (la Cnil et les autres) a le droit d’enquêter lorsqu’elle est saisie par un citoyen sur le sujet, et ce malgré l’existence du Safe Harbor. Ensuite, elle estime que la Commission européenne a eu tort d’accepter cet accord sans vérifier que les États-Unis n’interdisaient pas les opérations de surveillance généralisée (comme celles de la NSA). Du coup, 15 ans après son entrée en application, la justice suspend le Safe Harbor. Une décision historique.

Cette décision va-t-elle changer quelque chose ?

À court terme, les entreprises du Safe Harbor se retrouvent dans un trou juridique. Elles doivent subitement gérer une situation passée de légale à illégale du jour au lendemain. Les grandes entreprises disposent des armes suffisantes pour poursuivre leurs activités à coup de bras de fer juridiques. Mais quid des entreprises plus modestes ?

À moyen terme, l’Europe réaffirme son attachement à la protection des données personnelles. Cette décision de la CJUE pèsera sans doute dans les discussions sur le projet de Règlement européen sur les données personnelles. Ce texte, actuellement au stade des négociations tripartites entre le Parlement, le Conseil et la Commission, constituera à l’avenir le socle de la politique européenne en matière de protection de la vie privée.

(1) Directive 95/46/CE sur la protection des données personnelles.

(2) Commission nationale de l’informatique et des libertés.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.quechoisir.org/telecom-multimedia/internet/actualite-donnees-personnelles-decryptage-du-safe-harbor

Par Camille Gruhier

Que peuvent faire les entreprises en attendant un Safe Harbor II

Ce que les entreprises peuvent faire en attendant un Safe Harbor II

Force est d’admettre que la décision du 6 octobre 2015 par laquelle la Cour européenne de justice (CJUE) a déclaré invalide la décision Safe Harbor, sème un trouble auquel il n’existe aucune réponse juridique unanimement valable pour l’ensemble des entreprises concernées. Cette situation tient au fait qu’au-delà du contenu de cette décision, dont la portée demeure encore difficilement mesurable en l’absence de positionnement officiel des autorités de protection des données, d’autres paramètres doivent être pris en compte : le transfert est-il déjà effectif ? quelles sont ses finalités ? la loi nationale impose-t-elle des formalités préalables ?

AUDIT DES TRANSFERTS EN COURS

La décision de la CJUE étant d’application immédiate, depuis le 6 octobre 2015, tous transferts vers les Etats-Unis fondés sur le Safe Harbor sont invalides. Il est ainsi recommandé d’identifier rapidement les contrats et formalités déclaratives existants (ces transferts étaient soumis à simple notification auprès de la CNIL) afin de disposer des détails pertinents sur ces transferts.

Cet audit est nécessaire à l’identification des solutions alternatives envisageables à plus ou moins court terme, en l’état de la loi Informatique et Libertés ou sur la base des mesures qui pourraient être annoncées dans l’intervalle par la CNIL. A plus long terme, la décision Safe Harbor II en cours de discussion devrait être une solution pertinente mais il est difficile de prévoir sous quels délais elle sera adoptée.

DES DÉLAIS À ANTICIPER POUR LES TRANSFERTS À COURT TERME

La situation s’avère plus délicate pour les contrats en voie de conclusion pour lesquels le transfert était censé être fondé sur le Safe Harbor. En effet, sauf à pouvoir remplacer ce fondement par une exception légale ou des BCRs également soumis à simple notification préalable auprès la CNIL, les parties devront non seulement conclure des clauses contractuelles types (CCT) mais le responsable de traitement devra solliciter l’autorisation préalable de la CNIL au transfert. Or, obtenir cette autorisation peut prendre jusqu’à deux mois, voire plus, selon la loi. De plus, au vu des motifs de la décision rendue par la CJUE, le traitement de ces demandes par la CNIL est susceptible d’en être complexifié et en tout état de cause, allongé. Ces projets seront ainsi, pour beaucoup, dépendants des orientations qui seront prises par les autorités de protection des données.

Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.usine-digitale.fr/article/ce-que-les-entreprises-peuvent-faire-en-attendant-un-safe-harbor-ii.N356084

Invalidation du « Safe Harbor » : quels sont les changements auxquels on doit s’attendre ?

En quoi consiste Safe Harbor et que dit la Cour de justice de l’Union européenne (CJUE) ?

En Français « sphère de sécurité », le « Safe Harbor » est une décision de la Commission européenne, datant de 2000, qui affirme que le transfert de données personnelles d’Europe vers les Etats-Unis est possible car ce pays présente des garanties suffisantes pour la protection de la vie privée.

Très controversé, cet accord a notamment été mis à mal par les révélations d’Edward Snowden, en 2013, sur les programmes de surveillance de masse de la NSA. Les adversaires du Safe Harbor, dont Max Schrems, un Autrichien qui a déposé plusieurs plaintes contre Facebook, estimaient que ces révélations montraient que les données personnelles des Européens n’étaient en fait pas protégées lorsqu’elles étaient stockées aux Etats-Unis.

Dans son arrêt rendu mardi, la CJUE estime que le Safe Harbor n’est pas conforme au droit européen, pour plusieurs raisons détaillées sur une trentaine de pages. La Cour a notamment estimé que les recours possibles pour les citoyens européens estimant leurs droits malmenés étaient beaucoup trop faibles. Elle juge également que les programmes de surveillance de masse des Etats-Unis sont incompatibles avec une protection adéquate des droits des citoyens européens.

Cela veut-il dire que Facebook ne peut plus fonctionner en Europe, ou va devoir stocker les données des citoyens européens en Europe ?

Non : l’arrêt invalide un accord très générique. Facebook peut continuer à fonctionner comme il le faisait jusqu’à aujourd’hui, mais l’entreprise – tout comme Google ou tout autre entreprise qui stocke des données de citoyens européens aux Etats-Unis – ne peut plus s’abriter, en cas de procédure, derrière le fait qu’elle fait partie du Safe Harbor et que ses flux de données entre l’Europe et l’Amérique sont présumés légaux.

Facebook affirme en fait ne pas s’appuyer uniquement sur le Safe Harbor, mais « sur d’autres méthodes recommandées par l’Union européenne pour transférer légalement des données de l’Europe vers les Etats-Unis ».

Il existe en effet d’autres normes de transfert de données, comme par exemple les « clauses contractuelles type »  ou les « règles internes d’entreprise »  (dans le cas de transfert de données entre filiales), le Safe Harbor étant le cadre juridique simplifié et « par défaut ». Certaines entreprises du numérique utilisent déjà ces cadres juridiques alternatifs.

La Commission craint d’ailleurs que la décision de la CJUE ne favorise la multiplication de contrats spécifiques établis entre des entreprises et des pays européens, au détriment d’un cadre générique européen. Frans Timmermans, le vice-président de la Commission, a d’ailleurs annoncé que des « lignes directrices » à destination des autorités de protection des données seraient publiées afin d’éviter un « patchwork avec des décisions nationales ».

Par ailleurs, sans aller jusqu’à ces procédures juridiques, la loi européenne – plus spécifiquement l’article 26 de la directive de 1995 sur la protection des données personnelles – prévoit qu’un transfert vers un pays tiers peut être autorisé dans plusieurs cas. Par exemple, pour assurer la bonne exécution du contrat commercial (dans le cas d’une réservation d’hôtel par exemple, où les coordonnées du client sont nécessaires) ou lorsque intervient le consentement explicite de l’internaute à ce que ses données soient transférées.

Le Safe Harbor va-t-il être renégocié ?

La renégociation de cet accord était déjà en cours avant l’arrêt de la Cour. Malgré l’expiration de plusieurs dates butoirs, les négociateurs ont récemment affirmé qu’ils faisaient des progrès dans les discussions. Mais il sera difficile d’obtenir rapidement un accord qui puisse satisfaire les exigences de la CJUE : cette dernière rappelle dans son arrêt que, pour obtenir un régime de ce type, un pays doit faire la preuve qu’il offre des garanties de protection de la vie privée comparables à celles en vigueur au sein de l’UE.

Cela signifie qu’il faudrait des changements majeurs dans le droit américain pour qu’un nouvel accord ne soit pas, à son tour, invalidé par la Cour.

Que se passe-t-il dans l’immédiat ?

Plus de 4 000 entreprises étaient soumises à l’accord Safe Harbor. Nombre d’entre elles, particulièrement les plus petites, se retrouvent brusquement, au moins jusqu’à l’adoption d’un nouvel accord Safe Harbor, dans un vide juridique.

Les grands acteurs du Web, eux, sont dans l’attente. L’annulation du Safe Harbor semble les avoir pris de court. Dans un communiqué, l’association professionnelle Digital Europe, qui regroupe tous les grands acteurs du secteur (d’Apple à Toshiba en passant par Google, à l’exception de Facebook), « demande de toute urgence à la Commission européenne et au gouvernement américain de conclure leurs négociations pour parvenir à un nouvel accord “Safe Harbor” aussi vite que possible ».

« Nous demandons également à la Commission européenne d’expliquer immédiatement aux entreprises qui fonctionnaient sous le régime du Safe Harbor comment elles doivent opérer pour maintenir leurs activités essentielles durant ce vide juridique », poursuit l’association.

Facebook a, de son côté, estimé également qu’il « fallait impérativement que les gouvernements européens et américain donnent des méthodes légales pour le transfert des données et règlent toutes les questions de sécurité nationale ».

Quelles seront les conséquences plus larges de cette décision ?

Si l’arrêt de la CJUE ne porte que sur le Safe Harbor, il dénonce avec des mots très durs les programmes de surveillance de masse de la NSA américaine, présentés comme incompatibles avec les droits fondamentaux garantis par le droit européen.

Le jugement pourrait aussi influencer deux dossiers européens brûlants dont les négociations arrivent dans leur dernière ligne droite : l’accord « parapluie » sur l’échange de données personnelles pour la coopération policière, entre Europe et Etats-Unis, et le projet de règlement sur les données personnelles.

La commissaire européenne à la justice, Vera Jourova, a indiqué que l’arrêt de la Cour confortait la position de la Commission, notamment sur la nécessité d’avoir « des garde-fous solides » en matière de protection des données.

Washington s’est dit « déçu » par la décision de la justice européenne, estimant qu’elle créait une « incertitude pour les entreprises et les consommateurs à la fois américains et européens et met en péril l’économie numérique transatlantique qui est en plein essor ».

Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.lemonde.fr/pixels/article/2015/10/06/safe-harbor-que-change-l-arret-de-la-justice-europeenne-sur-les-donnees-personnelles_4783686_4408996.html

Safe Harbor remis en question – Et si le transfert de données personnelles aux US cessait ?

Entre Maximilian Schrems et Facebook, c’est une longue histoire d’amour (vache). C’est notamment à ce dernier qu’on doit d’avoir découvert l’ampleur de la collecte de données personnelles effectuée par le réseau social.

Remonté contre les pratiques de Facebook, le jeune autrichien l’est tout autant à l’encontre de la surveillance massive par les Etats-Unis. Pour accéder aux données des Européens, la NSA pourrait compter sur un dispositif : le Safe Harbor.

Une « des voies » des agences US pour accéder « à la collecte des données »

Le Safe Harbor prévoit le transfert automatique de données par les entreprises entre l’Europe et les Etats-Unis. C’est cet accord qui est visé par Maximilian Schrems au travers de sa plainte contre Facebook devant la justice irlandaise.

Le justiciable européen conteste le transfert de données à caractère personnel de Facebook Ireland à Facebook USA au motif que la protection de ses données n’est pas garantie du fait du programme PRISM de la NSA.

Saisie par la Haute Cour de Justice d’Irlande, la Cour de Justice européenne est appelée à se prononcer sur plusieurs points de droit. Pour l’heure, c’est l’avocat général de la CUJE, Yves Bot, qui a livré son analyse juridique.

Et en substance, ce dernier souligne le manque de garanties entourant le Safe Harbor et estime qu’une autorité nationale de protection peut enquêter sur les transferts de données réalisées dans ce cadre.

Plus encore, écrit l’avocat général, une autorité, au terme de ses investigations, « a le pouvoir de suspendre le transfert de données en cause » dès lors qu’elle estime qu’il « porte atteinte à la protection dont doivent bénéficier » les citoyens de l’UE.

Le Safe Harbor part du postulat que les Etats-Unis apportent un niveau de protection adéquat. Une obligation cependant qui se doit d’être continue, souligne Yves Bot. Cela « suppose qu’aucune circonstance intervenue depuis ne soit de nature à remettre en cause l’évaluation initiale effectuée par la Commission. »

Or, les révélations d’Edward Snowden au sujet de la surveillance par la NSA pourraient justement constituer une remise en cause. La Commission de l’UE elle-même estimait que le Safe Harbor était « l’une des voies par lesquelles les autorités américaines de renseignement ont accès à la collecte des données à caractère personnel initialement traitées au sein de l’Union. »

La « décision 2000/520 doit être déclarée invalide »

Pour l’avocat général de la CUJE, le « droit et la pratique des États-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées dans le cadre du régime de la sphère de sécurité, sans que ces derniers bénéficient d’une protection juridictionnelle effective. »

C’est donc le principe même du Safe Harbor et des transferts automatisés de données qui est contesté. « Nous sommes, dès lors, d’avis que la décision 2000/520 doit être déclarée invalide dans la mesure où l’existence d’une dérogation qui permet d’une manière aussi générale et imprécise d’écarter les principes du régime de la sphère de sécurité empêche par elle-même de considérer que ce régime assure un niveau de protection adéquat aux données à caractère personnel qui sont transférées aux États-Unis depuis l’Union » va jusqu’à considérer le représentant de la CUJE.

« C’est formidable de voir que l’avocat général a utilisé cette affaire pour rendre un avis général sur les transferts de données vers des pays tiers et la surveillance de masse » réagit Maximilian Schrems.

« Si le système du Safe Harbor disparaît, il est très probable que les autorités de protection dans les 28 Etats membres de l’UE n’autoriseront pas les transferts de données des entreprises US soumises à des lois de surveillance de masse » ajoute-t-il.

Les géants américains du Web comme Facebook pourraient ainsi se voir interdire le droit de transférer les données des utilisateurs européens de leurs services vers les Etats-Unis. Les juges de la Cour de Justice de l’UE doivent toutefois rendre leur décision, en tenant compte ou non de l’avis de l’avocat général.

Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.zdnet.fr/actualites/safe-harbor-et-si-le-transfert-de-donnees-personnelles-aux-us-cessait-39825358.htm

Par Christophe Auffray

L’Europe pourrait revoir le transfert de données personnelles vers les Etats-Unis

Le Safe Harbor est un texte datant de 2000 autorisant, sous certaines conditions, des entreprises américaines à transférer des données personnelles présentes en Europe vers leur territoire. Un principe qui soulève des polémiques depuis les révélations autour de systèmes américains (NSA via le dispositif PRISM) permettant de consulter ces informations.

La justice européenne souhaite à présent revoir ce dispositif. L’avocat général de la Cour de Justice de l’Union européenne (CJUE) vient à ce titre de rendre un avis dans lequel il demande à ce que n’importe quel Etat membre puisse mettre en pause ce transfert de données. En conséquence, les services américains du renseignement ne pourraient plus puiser dans ce vaste vivier d’informations.

S’il ne s’agit ici que d’un avis (http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-09/cp150106fr.pdf) émis par l’avocat général Yve Bot sur l’épineuse question de la protection des données personnelles, le document demeure clair à l’encontre de la pratique. Il motive son avis en évoquant les cas de « défaillances systémiques constatées dans le pays tiers vers lequel des données à caractère personnel sont transférées, les États membres doivent pouvoir prendre les mesures nécessaires à la sauvegarde des droits fondamentaux protégés par la Charte des droits fondamentaux de l’Union européenne, parmi lesquels figurent le droit au respect de la vie privée et familiale et le droit à la protection des données à caractère personnel ».

Autrement dit, la justice considère que ce principe de transfert automatique de données constitue une « ingérence dans le droit au respect de la vie privée et dans le droit à la protection des données ». Elle demande donc à ce que les autorités nationales de protection des informations personnelles puissent conserver la main sur ce type d’activité.

Max Schrems, un étudiant autrichien au début de la polémique

Depuis à présent 4 ans, Max Schrems, un jeune autrichien s’attaque aux pratiques de Facebook en matière de conservation et de protection des données de ses utilisateurs. Après avoir en premier lieu reproché au réseau social de créer des profils fantômes de personnes inexistantes, il avait attaqué le service pour avoir communiqué à la NSA des informations sur ses inscrits, notamment dans le cadre du programme PRISM.

L’affaire avait été portée devant la Data Protection Commissioner (DPC), l’équivalent de la Cnil en Irlande puis auprès de la Haute Cour du pays (Etat dans lequel le siège de Facebook Europe se trouve). Le cas est ensuite remonté jusqu’à la CJUE.

Suite à la remise de cet avis, la question de la suspension du Safe Harbor se pose à nouveau. La Cour de justice peut désormais suivre ou non l’avis de l’avocat général avant de remettre sa décision définitive. Celle-ci devrait survenir dans les prochains mois.

Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://pro.clubic.com/blog-forum-reseaux-sociaux/facebook/actualite-780512-facebook-europe-cour-justice.html?estat_svc=s%3D223023201608%26crmID%3D639453874_1165961926#pid=22889469