12/11/2015

Fin du Safe Harbor ?

Qu'est-ce que le Safe Harbor ?

Le 6 octobre dernier, la Cour de justice européenne (CJUE) a invalidé l’accord « Safe Harbor » créé en 2002. Plus précisément, le G29 (pour groupe de l'article 29) donne une deadline du 31 janvier 2016 pour trouver une solution, sans quoi des mesures seront prises ! (le dernier exemple que j’ai en mémoire, une amende de 150.000€ à Google, ils ont dû tousser du côté de l’infinite loop).

Cet accord « Safe Harbor » permettait d’élargir la directive 95/46/CE de 1995 interdisant le transfert de données personnelles de citoyens européens en dehors de la zone Europe (la version européenne de la loi informatique et Liberté de 1978 : finalités du traitement explicites et légitimes, droit de rectification/suppression).


Le principe de cet élargissement était qu'une entreprise américaine pouvait réaliser des traitements de données personnelles de citoyens européens dans la mesure où elle offrait des garanties de sécurité au moins équivalentes à celles prises en Europe. On parle ici des Google, Facebook, Dropbox et autres SalesForce, Microsoft 365, etc.


Le principe était donc une sorte de bulle de confiance en dehors du sol européen : la fameuse "safe harbor". 


Pourquoi faire sauter cette directive ?

Tout a commencé en 2011 quand un jeune activiste Autrichien, Maximilian Schrems, a demandé Facebook de lui rendre ses données personnelles.
Maximilian Schrems


Depuis les révélations de Edward Snowden sur surveillance de la NSA au sein des entreprises américaines, ces précautions ne sont plus considérées comme suffisantes.

Edward Snowden

Fun facts !

Pour obtenir une certification Safe Harbor, une entreprise américaine peut s'auto-auditer.

On peut voir partout référence aux termes « garanties de sécurité appropriées » , « mesures de sécurité appropriées », sans que personne ne se mouille en rédigeant un standard concret, comme peut l’être le PCI DSS. FaceBook a d’ailleurs demandé à l’Europe d’être explicite sur les mesures souhaitées.

Conséquences de cette décision ?

Les conséquences sont très floues pour le moment. Voici quelques points:

Chaque pays doit dorénavant négocier avec les États-Unis en direct, sans de protéger derrière le safe harbor : en France, la CNIL reprend la main.

La CNIL indique dans un communiqué du 16 octobre 2015 que les applications américaines peuvent encore être utilisées les citoyens et les entreprises européenes jusqu'à la deadline.

Le simple fait d'utiliser un datacenter en Europe ne suffit pas à une entreprise américaine à respecter les exigences européennes (puisque les données peuvent être consultées (ou transférées) depuis les USA.

Dans le cadre d'une relation B2B (ex: SalesForce), l'entreprise européenne et l'entreprise américaine peuvent signer un accord appelé Binding Corporate Rules sur l'utilisation des données, ce qui constitue une alternative au Safe Harbor.

Dans le cadre d'une relation B2C (ex: Facebook), il n'y a pas de solutions pour le moment. Mais il fort à parier que cela se solde avec une énième mise à jour des conditions d'utilisation de Facebook.

Cette décision m'apparaît comme un excès de zèle européen face à la domination des entreprises américaines. Même si le fond du sujet est tout à fait juste, l’Europe et les lois en générales sont complètement dépassées face aux échanges sur Internet, aux surveillances des états et aux pirates. 


Aucun commentaire:

Enregistrer un commentaire