Le 6 octobre 2015, la Cour de justice de l’union européenne a invalidé le « Safe Harbor », la décision par laquelle la Commission européenne avait constaté que les États-Unis assuraient un niveau de protection suffisant des données à caractère personnel européennes transférées.
Il s’agit d’une décision majeure pour la protection des données.
Qu’est-ce que le « Safe Harbor » ?
En principe, le transfert de données à caractère personnel vers un pays tiers à l’Union Européenne est interdit, à moins que le pays en question assure un niveau de protection suffisant des données personnelles, comparables à celui assuré en Europe.
Noué entre l’Union européenne et les Etats-Unis en 2000, le « Safe Harbor » encadrait le transfert des données personnelles de l’Union Européenne vers les Etats-Unis.
En juillet 2000, la Commission Européenne avait en effet constaté un niveau de protection suffisant avec le « Safe Harbor » et autorisait ainsi les transferts de données vers les Etats-Unis.
Pourquoi est-il remis en cause ?
Saisie dans le cadre d’une question préjudicielle, la CJUE a récemment estimé que le Safe Harbor n’était pas conforme au droit européen.
La procédure a débuté en Irlande où un étudiant autrichien avait déposé plainte contre Facebook pour violation manifeste de ses droits concernant ses données personnelles.
Citant les conditions du Safe Harbor, les juridictions irlandaises avaient refusé de donner une suite favorable à sa demande. L’affaire est arrivée devant la CJUE qui a du se prononcer sur la comptabilité de cet accord avec le droit européen en matière de données personnelles.
La CJUE a ainsi pointé du doigt l’insuffisance des garanties offertes par les Etats-Unis. Elle évoque notamment la faiblesse des recours possibles pour les citoyens européens, mais aussi l’incompatibilité entre les programmes de surveillance de masse des Etats-Unis et une protection adéquate des droits des citoyens européens.
Les juges ont estimé que le transfert des données personnelles des Européens vers les agences de renseignement américaines portait « atteinte au contenu essentiel du droit fondamental au respect de la vie privé ».
La CJUE constate ainsi que la Commission n’a pas recherché à l’époque si les Etats-Unis assuraient de manière effective une protection adéquate. La CJUE a donc invalidé le Safe Harbor.
Qu’est-ce que va changer cette invalidation ?
Après la décision sur le « droit à l’oubli » du 13 mai 2014, c’est la deuxième fois en peu de temps que la Cour de Justice de l’Union Européenne s’immisce dans les affaires des géants du web, jetant ainsi un nouveau pavé dans la marre.
Concrètement, l’invalidation du « Safe Harbor » pose donc la question du niveau de protection des données personnelles transférées aux Etats-Unis. Les autorités de protection des données devront ainsi examiner la validité des transferts qui leur sont soumis, en gardant à l’esprit que la situation américaine n’assure pas une protection « adéquate ».
L’annulation du Safe Harbor devrait donc contraindre les géants du web ainsi qu’environ 4 000 entreprises américaines présentes en Europe à conserver les données de leurs utilisateurs européens en Europe et limiter l’exploitation de ces données.
Jeu de briques
Snake
Pacman
Bubble