La page est tournée: vos données ne pourront plus voyager vers les Etats-Unis.

. © .
Matthias Dobbelaere-Welvaert Matthias Dobbelaere-Welvaert est fondateur de lesJuristes et supporte les entreprises en matière de droit internet.

6 octobre 2015. Les juristes ICT se souviendront de cette date comme le jour historique où la Cour européenne de Justice a mis fin au tourisme des données entre l’Union européenne et les Etats-Unis. La fin de ce qu’on appelle le ‘safe harbour’. Remercions au passage l’étudiant en droit autrichien Max Schrems, qui était occupé depuis un petit temps déjà à mener une croisade contre Facebook.

Pour les non-juristes, ce jour sera probablement vite oublié. Il est vrai que beaucoup d’entrepreneurs et de particuliers ne trouvent guère important de savoir où leurs données se trouvent précisément. A tort assurément car en ces temps où les données sont à peine encore conservées localement et où tout aboutit dans le nuage, tout un chacun devrait savoir à tout instant où sont stockées ses données. La connaissance est une force, y compris le contrôle de cette connaissance.

La Cour européenne de Justice a donc invalidé la disposition Safe Harbour. Reste à savoir ce que cela implique exactement pour Monsieur Tout-le-Monde ou pour une entreprise belge et quel en sera l’impact.

Qu’est-ce que Safe Harbour?

Pour comprendre la déclaration d’invalidation de la disposition Safe Harbour, il convient d’abord d’expliquer le contenu de l’accord (car c’est bien d’un accord qu’il s’agit). L’Union européenne, sous l’impulsion aussi de divers groupes de travail tels l”Article 29 Working Party’, aspire depuis quelques années déjà à une législation et à une réglementation plus strictes et plus étendues en matière de respect de la vie privée. Les nouvelles mesures législatives prises par l’UE par rapport aux organisations, tant commerciales que publiques, ne sont pas des moindres. ‘Le droit à l’oubli‘, par lequel le citoyen a toujours la possibilité de demander à une organisation ou entreprise à effacer ses données, est un exemple de la manière dont l’UE entend parfois aller trop loin dans la protection de la confidentialité.

Vos données ne pourront plus voyager vers les Etats-Unis.

Conformément aux directives européennes, les données personnelles (une donnée personnelle est toute donnée qui peut ramener à une personne naturelle) ne peuvent être transférées vers un pays (ou état) hors de l’Union européenne que si cette entité garantit au minimum une législation aussi stricte en matière de respect de la vie privée. L’on parle bien d’un ‘pays ou état’, mais en fait, tout le monde a le regard tourné vers les Etats-Unis, où la notion et la valeur de la confidentialité se diluent depuis des années déjà, majoritairement du fait que le monde politique y accorde la priorité à un contrôle et à une répression de la criminalité.

Les Etats-Unis ne sont pas cependant pas les premiers venus. L’Union européenne entretient avec eux des relations économiques intensives. Et comme toujours, une partie assumant la responsabilité d’une majorité des revenus a plus à dire que celle qui est dépourvue de cet avantage financier.

-‘Safe Harbour’ devait être un compromis entre la trop anxieuse UE et les Etats-Unis-

Safe Harbour’ a vu le jour en 2000. Il devait être un compromis entre la trop anxieuse UE et les Etats-Unis, qui jugeaient bien différemment le respect de la vie privée. La Commission européenne se mit par conséquent d’accord avec les Etats-Unis à propos du fait que le trafic des données entre les entreprises au sein de l’UE et celles sur le sol américain pouvait être réglé de manière flexible, tout en étant encore et toujours soumis à certains principes et mesures de sécurité (les Safe Harbour Principles).

Des entreprises américaines en vue comme Facebook, Google, Apple et beaucoup d’autres figurent sur la liste des sociétés qui satisfont à ces principes et offrent par conséquent un certain niveau de protection.

La Cour européenne de Justice décide toutefois à présent, sous les applaudissements évidemment des activistes de la confidentialité, que la disposition Safe Harbour ne protège pas suffisamment la vie privée du citoyen européen. Les critiques à l’encontre de Safe Harbour n’étaient du reste pas neuves. Depuis longtemps déjà, il était question que ces mesures n’offraient pas une protection suffisante et n’étaient pas correctement suivies. Il est difficile de ne pas penser ici à Snowden et au scandale des mises sur écoute PRISM, par lesquelles le service de renseignements américain NSA a collecté des données sur des internautes dans le monde entier.

Quel va en être l’impact?

D’une part, il y a les entreprises américaines. Des firmes populaires comme Facebook et Apple exploitent cet accord depuis des années déjà sans trop de problèmes en vue de traiter les données personnelles européennes. Tel ne sera plus le cas, étant donné que ces entreprises devront à présent négocier avec les Commissions vie privée européennes (à savoir une commission dans chaque pays membre, ce qui s’avère mission quasiment impossible, mais peut-être développera-t-on une vision commune et un système d’adhésion au niveau européen). Le genre de négociations qui peuvent facilement s’éterniser.

D’autre part, il y a nos entreprises belges et européennes. Elles auront subitement l’avantage d’être favorisées, lorsqu’il s’agira de traitement de données personnelles. Il va de soi qu’il ne faudra pas attendre longtemps, avant de voir l’une d’elles exploiter toute cette saga dans son marketing (“vos données seront en sécurité chez nous“).

En cas de vol de données, il sera nettement plus facile d’aborder une entreprise européenne qu’américaine.

Mais qu’en est-il du citoyen? Qu’est-ce qui va changer pour eux? En tant que citoyens – et nous le sommes tous -, c’est nous qui allons peut-être encore tirer le plus de profit de ce jugement. Le célèbre adage, selon lequel si vous n’avez rien à cacher, vous n’avez rien à craindre au niveau de votre vie privée, est un non-sens pur et simple, qui a probablement été inventé par des lobbyistes faisant le moins de cas possible du respect de la vie privée. Car même si vous n’avez rien à cacher (qui peut encore prétendre cela aujourd’hui?), vous tirerez encore et toujours parti du fait que vos données personnelles ne joueront plus les touristes sur les serveurs américains. Les données personnelles européennes doivent être conservées en Europe. Il y va de la sécurité juridique (en cas de vol ou de manipulation de données, il sera à présent nettement plus facile d’aborder une entreprise européenne qu’américaine), et il y va aussi de la tranquillité d’esprit de savoir que si vos données ne sont pas stockées localement, elles le sont bel et bien au sein de l’UE.

Conclusion

La grande majorité des gens ne va pas se tracasser. Elle préfère en effet des solutions aussi économiques que possible pour conserver les données. C’est humain, même si cela n’est pas sensé. Nous achetons bien des systèmes d’alarme coûteux pour nos maisons, bureaux et voitures. Nous protégeons (et ne regardons pas trop à la dépense) ce que nous pouvons. Mais quand la propriété physique devient subitement virtuelle, la majorité démissionne. Néanmoins, il est urvaleur des données (et donc la propriété virtuelle) pourrait bien être nettement supérieure à ce que nous estimons tous. Les données personnelles deviennent toujours plus une monnaie, et je préfère, moi, qu’elle soit convertie en euros plutôt qu’en dollars.

Cette chronique a été écrite par Matthias Dobbelaere-Welvaert, managing partner chez deJuristen/lesJuristes, et professeur Copyright & Mediarights à l’Erasmus Hogeschool, en collaboration avec Hannah Savels, legal assistant chez deJuristen/lesJuristes.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire