Safe Harbor : Facebook continuera à transférer tranquillement vos données aux Etats-Unis

Publié il y a deux jours, l’arrêt de la cour de justice de l’Union européenne (CJUE) à propos de l’affaire Max Schrems contre Facebook agite les entreprises du web américaines, car il pourrait remettre en cause l’un des piliers de leurs business : les transferts de données personnelles entre l’Europe et les Etats-Unis.

Jusqu'à présent, ces flux étaient principalement effectués dans le cadre dit de la "sphère de sécurité" (ou "Safe Harbor"), un accord juridique qui permet aux sociétés américaines de transférer vers leurs centres de données aux Etats-Unis les données personnelles de leurs utilisateurs européens, sans grande difficulté. Car on estimait que leurs informations y bénéficiaient d’une protection similaire (ou "adéquate").

Les transferts se feront différemment

Mais la CJUE n'est pas de cet avis, estimant qu'aux Etats-Unis, "les exigences relatives à la sécurité nationale… l'emportent". En d'autres termes, la sphère de sécurité n'offrirait aucune garantie de protection face à la surveillance de masse de la NSA révélée par Edward Snowden. Le CJUE invalide donc le Safe Harbor.

Facebook, en revanche, ne s’inquiète pas trop de cette nouvelle donne et prévoit de continuer tranquillement ses transferts de données transatlantiques, comme avant. "Cet arrêt ne nous impacte pas", explique Stephen Deadman, directeur adjoint de la confidentialité des données chez Facebook, de passage à Paris. "Il y a d’autres mécanismes que le Safe Harbor pour transférer les données personnelles. Ils sont plus compliqués à mettre en place, mais nous avons les ressources pour le faire", ajoute-t-il.

Ces mécanismes alternatifs - qui sont d'ailleurs proposés par les autorités européennes de protection des données personnelles - portent des noms barbares tels que "Clauses contractuelles type" ou "Corporate Binding Rules". Ils obligent les entreprises à créer des procédures internes spécifiques pour assurer la protection des données personnelles: audit, formation, gestion des plaintes, etc. Pour des acteurs tels que Facebook ou Google, cela signifie avant tout plus de paperasse à gérer, ce qui est supportable.

Incompatibilité fondamentale

Pour les utilisateurs, en revanche, toute cette situation est loin d'être satisfaisante. Il est peu probable que ces mécanismes alternatifs apportent une "protection adéquate" compte tenu du caractère très intrusif du Patriot Act, la loi américaine qui autorise la surveillance de masse aux Etats-Unis. Leur validité juridique devrait donc, là aussi, être plutôt incertaine. Mais l'arrêt de la CJUE, malheureusement, ne s'exprime pas sur ce sujet.

A ce stade, on imagine mal comment un hypothétique Safe Harbor 2, qui doit être négocié entre l'Union européenne et les Etats-Unis, pourrait régler la situation. Car le problème fondamental, c'est l'incompatibilité entre les programmes de surveillance de masse américains et les droits fondamentaux garantis par le droit européen.