Facebook et l’Oncle Sam qui pleurent et les internautes européens qui rient ? La décision de la Cour de justice de l’Union européenne (CJUE), mardi 6 octobre, sonne comme une victoire pour les avocats de la défense de la vie privée sur Internet en Europe. Les juges ont invalidé le cadre actuel du “Safe Harbor” [procédure qui permet à Facebook et à d'autres de transférer facilement des données personnelles d'utilisateurs européens vers les États-Unis], à condition que les informations y soient aussi bien protégées que sur le Vieux continent.

Max Schrems, l’étudiant autrichien à l’origine de cette bataille judiciaire qui vise avant tout Facebook, s’est d’ailleurs réjoui de cet "arrêt Facebook" qui “montre que les entreprises privées ne peuvent pas simplement aider [même sans le vouloir] les efforts d’espionnage américain en violation des droits fondamentaux européens”. Jusqu’à présent, les géants américains du Net pouvaient facilement transférer les données européennes vers les États-Unis en fournissant à la NSA un potentiel vivier où puiser des renseignements.

Cette perméabilité des serveurs des poids lourds américains du Web avait été démontrée par l’ex-consultant de la NSA Edward Snowden en 2013. Il a fallu deux ans à la justice européenne pour décider que le scandale des écoutes américaines avait changé la donne pour le "Safe Harbor" : le niveau de protection de la vie privée des informations stockées aux États-Unis n’est pas aussi optimal qu’on a pu le penser.

La décision de la CJUE semble, donc, signer l’arrêt de mort du “Safe Harbor”. Pourtant, Franz Timmermans, vice-président de la Commission européennne, a indiqué mardi que les données pourront continuer à être rapatriés aux États-Unis. Florence Chafiol, avocate associée au cabinet August & Debouzy et spécialiste des questions de données privées explique à France 24 pourquoi le “Safe harbor” n’est pas mort.

France 24 : Les données personnelles des internautes sont-elles dorénavant plus à l’abri des grandes oreilles de la NSA qu'avant ?
Florence Chafiol : Pas vraiment. La décision de la Cour de justice de l’Union européenne remet en cause le cadre du "Safe harbor", mais ne tue pas le système du jour au lendemain. Les juges affirment que dorénavant les autorités nationales, comme la Cnil en France, pourront vérifier au cas par cas si le transfert des données ne porte pas préjudice à la protection de la vie privée des internautes européens, et le bloquer le cas échéant.

Ils sont donc en charge de la réalité du "Safe Harbor", ce qui ne signifie pas que les transferts vers les États-Unis vont arrêter. [La Commission européenne a d’ailleurs tenu à souligner que l’arrêt de la CJUE ne mettait pas un terme aux transferts des données, NDLR]

F24 : Concrètement, quels seront les changements ?
F. C. : Les entreprises françaises, par exemple, qui transfèrent des données privées aux États-Unis, devaient indiquer à la Cnil si elles agissaient dans le cadre du "Safe Harbor", avec le consentement des utilisateurs ou encore dans le cadre d'un contrat particulier qui assurait que les informations relevant de la vie privée étaient aussi bien protégées aux États-Unis qu’en Europe.

La Cnil risque de ne plus laisser passer les cas de "Safe Harbor" après le verdict des juges européens. Les sociétés seront donc tentées de conclure des accords bilatéraux établissant que les données privées seront aussi bien protégées des deux côtés de l’Atlantique. Les autorités nationales de protection de la vie privée sur Internet seront ensuite chargées de vérifier la réalité de cette protection.

F24 : Et comment ?
F. C. : Ça, je ne saurais vous le dire.

F24 : Qu’en est-il des géants du Web comme Facebook qui transfèrent des données personnelles en continu ? Vont-ils être obligés de demander à chaque fois l’autorisation des Cnil européennes ?
F.C. : Je pense que ces multinationales vont plutôt opter pour l’installation de serveurs en Europe afin d’y stocker les données collectées, évitant ainsi la question de la protection de la vie privée aux États-Unis. En théorie, cette conséquence est une bonne nouvelle pour les internautes européens, car la NSA n’a pas en principe accès aux serveurs en Europe. Mais encore faut-il faire davantage confiance aux services de renseignement européens.

En outre, c’est probablement une solution temporaire en attendant que l’Union européenne mette en place un nouveau cadre pour le transfert des données.

F24 : Vous voulez dire qu’il y aura un "Safe Harbor 2" ?
F.C. : Il y a de fortes chances pour que les autorités européennes et américaines cherchent à se mettre d’accord. La décision de la Cour de justice de l’Union européenne représente en ce sens un grand coup de pied dans la fourmilière pour souligner que la situation a évolué depuis le scandale des écoutes et qu’il faudrait revoir les termes de l’accord. En ce sens, le verdict peut être utilisé par les autorités européennes pour obtenir des États-Unis qu’ils mettent en place des mesures supplémentaires de protection de la vie privée.

--------------------------------------------------------------------------------------------
Le "Safe Harbor" pour les nuls
La Commission européenne et le département du Commerce américain se sont mis d’accord en 2000 pour établir un cadre légal pour le transfert des données personnelles d’Europe vers les États-Unis. C’est l’acte de naissance du "Safe Harbor". Ce dispositif permet à une entreprise de déclarer que les données qu’elle stockera aux États-Unis disposeront du même niveau de protection de la vie privée qu’en Europe.

À partir de ce moment, la société – qu’il s’agisse de Facebook ou de n'importe quel autre site – peut transférer autant d’informations numériques personnelles qu’elle veut outre-Atlantique. Elle doit simplement déclarer aux Cnil européennes qu’elle agit dans le cadre du "Safe Harbor".

Le scandale des écoutes de la NSA a permis de constater à partir de 2013 que ce "safe harbor" n’était pas aussi sûr que ça.