A partir du 1er février, les sociétés privées transférant des données de citoyens européens vers les Etats-Unis sous le régime du « Safe Harbor » seront en infraction caractérisée. Ces sociétés bénéficiaient en effet d’une période de grâce, après l’annulation de cet accord international – mais la situation n’est toujours pas réglée.
Pendant quinze ans, « Safe Harbor » a permis à plus de quatre mille entreprises d’exporter des données vers les Etats-Unis, alors que les lois américaines n’offrent pas une protection suffisante au regard du droit européen.
Ce régime d’exception permanente a été aboli par la cour de justice de l’Union européenne (UE) en octobre 2015, à la suite d’une plainte déposée par un militant autrichien contre la filiale européenne de Facebook en Irlande, et aux révélations d’Edward Snowden sur les programmes de surveillance de masse des agences de renseignement américaines.
Blocage des négociations
Malgré l’urgence, les négociations pour la mise en place d’un Safe Harbor 2, qui serait plus respectueux des droits des Européens, n’ont pas encore abouti. L’une des exigences de l’UE est que les Etats-Unis autorisent les Européens à porter plainte devant les tribunaux américains au cas où leurs données personnelles seraient exploitées de façon abusive – une simple mesure de réciprocité, car les Américains possèdent déjà ce droit en Europe. Pour satisfaire cette demande, la Chambre des représentants américaine a voté en octobre 2015 une loi spéciale, baptisée Judicial Redress Act (JRA). Le Sénat aurait dû en faire autant le 20 janvier, mais le débat a été annulé au dernier moment, sans explications.
Ce blocage affecte aussi la mise en place d’un autre accord transatlantique, conclu en septembre 2015 : l’Umbrella Agreement (« accord parapluie »), qui encadre les échanges de données personnelles en matière de police et de justice, en limitant les droits des administrations américaines dans le traitement des données européennes. Tant que le JRA ne sera pas voté, l’Europe ne souhaite pas valider l’Umbrella Agreement.
Une loi attaquée de tous les côtés
En réalité, aux Etats-Unis, le JRA est attaqué de tous les côtés. D’une part, certains sénateurs conservateurs, suivant l’avis des agences de renseignement, estiment que les demandes européennes arrivent à contretemps : après les attentats de Paris, la lutte contre le terrorisme exige selon eux de renforcer la surveillance des données personnelles et d’allonger leur durée de rétention, et non pas de les réduire.
D’autre part, l’association américaine de défense des libertés sur Internet, l’Electronic Privacy Information Center (EPIC), estime au contraire que l’Umbrella Agreement ne protège pas assez les données des Européens, et exige que le département fédéral de la justice publie l’intégralité du texte de l’accord, pour s’assurer qu’il ne contient pas de clauses secrètes. EPIC a écrit aux sénateurs pour les inciter à voter contre le JRA dans sa version actuelle.
Le Safe Harbor 2 semble donc mal parti, du moins à court terme, sauf si l’Europe cède à nouveau aux exigences américaines. En coulisses, à Bruxelles et dans plusieurs capitales européennes, les grandes entreprises américaines et leurs associations professionnelles font un lobbying intense pour pousser l’Union européenne a accepter un nouvel accord, même si toutes ses demandes ne sont pas satisfaites.
Contrats bilatéraux pour contourner la loi
Le groupe de travail G29, qui regroupe les agences de protection de données européennes, doit se réunir le 2 février pour évaluer la situation et si possible proposer des solutions pour sortir de l’impasse.
Les entreprises fortement impliquées dans l’exportation de données sont parallèlement déjà en train de s’adapter. Selon le cabinet juridique américain Jones Day, qui possède un bureau à Paris, la situation actuelle est incertaine, mais pas aussi critique qu’on pourrait le croire. Pour rester dans la légalité, de nombreuses sociétés ont recours à un autre instrument juridique : un contrat bilatéral entre l’expéditeur et le destinataire des données (souvent la maison-mère américaine et sa filiale européenne) contenant des clauses types garantissant que les données européennes bénéficieront aux Etats-Unis d’une protection conforme au droit européen – une procédure plus complexe et plus coûteuse que le Safe Harbor, mais pas insurmontable.
En ce qui concerne les PME européennes qui font traiter leurs données aux Etats-Unis, elles sont prises en charge par leurs fournisseurs de service, c’est-à-dire les grandes entreprises de cloud américaines comme Amazon, Salesforce ou IBM, qui se chargent à leur place des formalités juridiques.
Réagissez à cet article
|