Mylène Blin

UPDATE – La date butoir est dépassée : avant le 31 janvier 2016, les Etats-Unis et l’Union Européenne auraient dû trouver un nouvel accord pour remplacer le traité Safe Harbor, qui avait été jugé invalide par la Cour de Justice de l’Union Européenne en octobre dernier. Finalement, les Etats-Unis et l’Union Européenne viennent d’annoncer un nouveau texte le 2 février, le Privacy Shield, dépassant de peu la date limite imposée.

Ce texte devra toutefois désormais être approuvé par le groupe G29, constitué de toutes les CNIL des pays de l’UE : ces dernières ne peuvent pour le moment pas se prononcer et ont demandé des éléments supplémentaires pour prendre une décision, laissant le vide légal sur le sujet planer quelques semaines de plus.

Rappel des faits

Le 6 octobre 2015, la Cour de Justice de l’Union Européenne a invalidé l’accord translatique de transfert des données, surnommé Safe Harbor et utilisé depuis 2000 par plusieurs milliers d’entreprises américaines (dont Google et Facebook).

Le texte permettait aux entreprises américaines qui ont des activités en Europe de transférer les données de leurs clients européens aux Etats-Unis sans contrôle réel de leur utilisation. Les entreprises pouvaient en effet se contenter d’une autocertification annuelle, déclarant que leur politique de gestion des données était conforme aux exigences européennes en la matière.

Cette décision s’était produite à la suite d’une plainte d’un utilisateur autrichien, Max Schrems, contre Facebook, qui avait entraîné plusieurs actions en justice sur la question de la protection des données d’un continent à l’autre.

La CNIL et ses équivalents dans les 29 pays de l’UE, regroupés au sein du G29, ont ensuite octroyé aux Etat-Unis et à l’UE un délai de trois mois pour proposer un nouveau cadre réglementaire. La date limite accordée était le 31 janvier 2016.

Où en est-on ?

Le 2 février, la Commission Européenne a officiellement annoncé la publication d’un nouveau texte, le Privacy Shield, qui serait loin d’un Safe Harbor 2 mais permettrait de répondre à l’urgence de mise en place d’un nouveau cadre réglementaire sur un sujet sensible et critique à l’activité de nombreuses grandes entreprises. Peu d’informations ont filtré sur le contenu de ce nouveau texte. Il promettrait notamment la mise en place d’un médiateur américain pour arbitrer les plaintes de citoyens européens concernant leurs données personnelles, et serait revu annuellement. 

La CNIL et ses 28 équivalents au sein de l’UE ont annoncé un délai supplémentaire de trois semaines pour étudier les éléments liés à ce nouveau texte et décider s’il est acceptable ou non. Elles devraient se prononcer avant la fin du mois de février 2016.

Au cours de ces trois derniers mois, les négociations entre l’UE et les Etats-Unis ont été tendues. Selon le blog Pixels, l’Union Européenne exige plus de protection des données de ses citoyens, et notamment la possibilité de porter plainte devant la justice américaine en cas d’abus (ce qui est déjà possible à l’inverse pour les citoyens américains auprès de la justice européenne). Pour permettre cette réciprocité, une loi spéciale avait été proposée aux Etats-Unis : la Judicial Redress Act (JRA), déjà adoptée par la Chambre des représentants.  

Le texte devait ensuite être adopté au Sénat au cours d’une session le 20 janvier 2016, mais elle a été annulée. Le JRA semblait décrié de toutes parts aux Etats-Unis. Les conservateurs le trouvent trop contraignant et malvenu pour des raisons liées à la lutte contre le terrorisme, tandis que les défenseurs des libertés sur internet (association EPIC) s’inquiétaient globalement d’un manque de protection pour les données personnelles dans l’autre accord en discussion entre UE et Etats-Unis, l’Umbrella Agreement. Or l’Umbrella Agreement ne sera pas validé tant que le JRA ne sera pas voté : l’EPIC appelait donc les Sénateurs à s’y opposer.

Quelles conséquences pour les entreprises ?

4 500 entreprises américaines sont concernées par l’invalidation de Safe Harbor. A partir du 1er février 2016, ces entreprises sont donc potentiellement en infraction, et c’est ce qui a amené les deux parties, Etats-Unis et Union Européenne, à proposer un texte le plus rapidement possible, qui doit désormais passer par le G29 pour avis. Cet avis ne devrait être rendu qu’à la mi-avril au plus tôt.

En dehors de ce texte, il existe pour les entreprises des moyens, plus contraignants et coûteux, de continuer à exercer légalement : cela passe généralement par des contrats bilatéraux entre l’expéditeur et le destinataire des données, qui doivent permettre les échanges en certifiant une utilisation des données conforme au droit européen. Il s’agit de Clauses Contractuelles Types, des contrats types rédigés par la Commission Européenne.

Les entreprises européennes directement concernées

Parmi les entreprises américaines qui se reposaient entièrement sur Safe Harbor, on retrouve des géants numériques : Facebook, Amazon, Google, Apple entre autres sont directement en ligne de mire. 

Mais les entreprises européennes qui confient les données de leurs clients à des entreprises américaines, par le biais d’hébergement de serveurs, de la délocalisation de certains services ou de prestations externes, sont également dans une situation risquée. Tout citoyen européen peut se retourner contre elles pour réclamer des preuves d’une protection de ses données conforme aux exigences européennes.

Si vous faites appel à des services externes, vérifiez que vos prestataires et leurs serveurs sont basés dans l’UE ou dans l’un des pays bénéficiant d’une reconnaissance d’adéquation (Argentine, Canada, Israël, Suisse, Nouvelle Zélande entre autres par exemple).

En matière de prestation d’emailing, si vous êtes client Mailjet, vous avez l’assurance que vos données et celles de vos clients sont hébergées exclusivement en Europe (et plus spécifiquement chez nous en France). Si vous ne l’êtes pas encore, c’est peut-être le moment de penser à nous contacter, nous serons ravis de répondre à vos questions.

Nous vous tiendrons également informés des suites de l’affaire Safe Harbor / Privacy Shield sur ce blog.