Par une décision du 6 octobre 2015, la Cour de justice de l'Union Européenne a remis en cause la décision de la Commission européenne du 26 juillet 2000 qui avait validé le système "Safe Harbor" (ou "sphère de sécurité") comme garantissant, en soi, le niveau "adéquat" de protection des données personnelles des européens si elles font l'objet de traitements aux USA.

L'idée générale du Safe Harbor était de créer un label de confiance autorisant les entreprises américaines à se déclarer conformes au niveau de protection des données personnelles en vigueur au sein de l'Union Européenne, plus protecteur de la vie privée.

D'un point de vue juridique, les prestataires américains pouvaient bénéficier de la certification Safe Harbor en se déclarant conformes à une demi-douzaine de règles (information des personnes concernées, refus de communication des données aux tiers, transferts ultérieurs limités, sécurité des données, proportionnalité des données par rapport à la finalité, droit d'accès et audit de conformité) similaires à ceux du droit européen pour être en droit d'importer des données personnelles depuis l'Europe. Mais il n'existe aucune autorité aux USA, susceptible comme nos CNIL européennes de vérifier si les entreprises américaines se conforment bien à ces pratiques.

En Europe, le Safe Harbor était donc l'une des exceptions au principe d'interdiction des transferts de données personnelles en dehors de l'Union Européenne (Directive 95/46/CE du 24 octobre 1995), cette dernière assurant un niveau uniforme et élevé de protection de la vie privée au sein du marché européen.

Le fait que cette certification soit délivrée sur un mode déclaratif avait engendré de nombreuses critiques, notamment du Parlement européen, mais le système Safe Harbor a prospéré, sous la pression conjuguée des entreprises européennes et américaines, et a permis à plus de 5.000 entreprises américaines de proposer leurs services en Europe. Les grands éditeurs cloud ont donc pu déployer leurs technologies et collecter ainsi les données de leurs clients européens.

Plus récemment, l'affaire "PRISM" et les révélations d'Edward Snowden ont démontré la porosité du Safe Harbor face aux pratiques des services secrets américains, entraînant d'ailleurs le lancement de nouvelles négociations entre la Commission européenne et le Département du Commerce américain pour actualiser le Safe Harbor. En soi, cette renégociation confirmait que le Safe Harbor était affaibli et risquait de perdre toute valeur, à l'instar de la confiance que les utilisateurs européens plaçaient jusqu'ici dans les services américains.

C'est dans ce contexte que la CJUE a été saisie d'une question préjudicielle émanant de la Haute Cour de justice irlandaise, lui demandant en substance si la reconnaissance de principe du Safe Harbor par la Commission européenne comme assurant une protection des données personnelles de manière conforme à la législation européenne, avait ou non force obligatoire pour les juridictions et autorités de contrôle (type CNIL) des pays membres. En l'espèce, c'est l'autrichien Max Schrems qui affirmait devant la juridiction irlandaise que la politique de Facebook était contraire aux règles européennes, notamment en ce que cette société transfère les données personnelles de ses membres à des tiers sans consentement préalable.

En d'autres termes, il s'agissait de savoir si la certification Safe Harbor était autosuffisante, supprimant tout l'intérêt de vérifications complémentaires, ou bien si la certification pouvait faire l'objet de vérifications opérationnelles pour les besoins d'une affaire et, potentiellement, être écartée par un juge.

Suivant la tendance de son avocat général, la CJUE a d'abord constaté que les pratiques des autorités américaines montraient que le Safe Harbor n'était pas réellement mis en application, ou du moins qu'il existait des cas limites, et occultes, dans lesquels les garanties attachées au Safe Harbor étaient contournées. Schématiquement, si la personne physique européenne doit donner son consentement à tout transfert de ses données à un tiers, il y a problème si les éditeurs cloud américains livrent ces données aux services de renseignement (ou même simplement à leurs partenaires commerciaux) sans autorisation préalable des personnes concernées.

Partant, la CJUE a décidé que les conditions dans lesquelles Facebook envoyait les données européennes vers les USA ne répondaient pas aux exigences de la législation européenne, que les autorités nationales n'étaient pas liées par la décision de la Commission qui ne pouvait en aucun cas de substituer aux investigations des CNIL européennes, et que l'une d'elle pouvait parfaitement considérer que le niveau « adéquat » de protection n'était pas assuré, nonobstant le Safe Harbor.

Ainsi, la CJUE indique l'insuffisance d'une déclaration de principe de conformité au Safe Harbor qui n'emporte en réalité aucune garantie réelle de conformité au droit européen relatif à la protection des données personnelles.

Une telle décision, qui annihile la présomption automatique issue du Safe Harbor, en sonne en réalité le glas : si la déclaration de conformité ne suffit pas, c'est qu'à chaque fois, le prestataire américain doit faire la preuve qu'il se conforme au niveau de protection européen, par exemple en signant des clauses contractuelles types avec ses clients. En clair : les clients européens ne peuvent plus croire les prestataires américains "sur parole"...

Cette situation entraîne donc l'invalidation des clauses d'adhésion au Safe Harbor comme garanties contractuelles de conformité aux exigences légales. Les effets sont potentiellement ravageurs, puisque toute entreprise française utilisant les services d'un cloud US pour gérer les données de ses prospects, les dossiers de ses salariés, ou la facturation de ses clients, expose donc les données personnelles de ces populations à des traitements non conformes, et à des transferts non consentis.

Or, les personnes physiques en cause (prospects dans un outil CRM SalesForce, données clients dans un cloud Oracle ou sur une messagerie Microsoft, utilisateurs des services Google, etc.) sont celles devant qui les entreprises françaises ont des comptes à rendre. Si les outils applicatifs utilisés par les entreprises (et les administrations) françaises ne garantissent plus la protection des données personnelles de ces populations, on revient à l'interdiction de principe de la loi de 1978 et les traitements doivent être interrompus !

Le "groupe art. 29", qui réunit les CNIL européennes, va se réunir pour définir des solutions d'urgence, pendant que les négociations autour du Safe Harbor 2 devraient connaître une certaine accélération. Dans l'immédiat, il est recommandé aux clients français d'interroger leurs prestataires américains pour savoir comment ceux-ci comptent se conformer à leurs obligations, à présent que la certification Safe Harbor a perdu sa valeur.

Cette décision, retentissante, illustre à quel point les données personnelles sont devenues un enjeu central au sein de l'économie numérique, et donne un nouvel exemple des difficultés qu'il y a à réguler un réseau par nature planétaire et donc soumis à une multitude de législations souveraines concurrentes.

En attendant de connaître les mesures prises par les autorités européennes de protection des données personnelles qui vont se réunir dans les prochaines semaines, les entreprises françaises qui ne souhaiteront pas attendre pour combler ce vide juridique et sécuriser leurs traitements, auront déjà deux possibilités : déclencher la réversibilité de leurs contrats avec les éditeurs américains, et leur substituer des éditeurs européens, ou exiger de leurs prestataires américains qu'ils s'engagent à se conformer aux "clauses contractuelles types" européennes, par voie d'avenant. Plus nombreux seront les clients français à faire cette démarche, moins les prestataires américains pourront s'y dérober.

Sylvain Staub et Thomas Beaugrand, Associés, Staub & Associés