Le 6 octobre, la Cour de justice de l’Union européenne invalidait les accords internationaux du Safe Harbor, ou Sphère de sécurité, qui liait les États-Unis à l’Union européenne, puisqu’ils n’apportaient pas de garanties suffisantes de protection des données personnelles de citoyens européens quand ces données sont hébergées ou traitées aux États-Unis.
En particulier, les agences gouvernementales américaines sont susceptibles d’accéder aux données personnelles d’un citoyen européen transférées via les programmes de surveillance de masse dévoilées par le dénonciateur Edward Snowden, sans que le citoyen européen ait un quelconque moyen de se défendre devant les tribunaux américains.
Cet arrêt remarquable et historique met donc fin à un accord vieux de quinze ans et inadapté à l’omniprésence de terminaux mobiles connectés à un nuage informatique. Alors que la Commission Européenne a trois mois pour trouver un nouvel accord, les entreprises européennes qui exportent des données doivent revoir leurs politiques de confidentialité et de protection des données. Les entreprises les plus touchées sont donc les multinationales américaines avec des filiales en Europe.
Un certain nombre de fournisseurs de services dans le nuage, comme Microsoft, ont depuis intégré les « EU Model Clauses » à leurs contrats. Il s’agit de clauses de contrats, plus restrictives que les conditions du Safe Harbor, approuvées par la Commission européenne, assurant le respect des directives européennes sur les données personnelles, et permettant d’exporter et de traiter les données en dehors de l’Europe.
Hier, Brad Smith, Président et Chief Legal Officer de Microsoft, proposait d’aller plus loin avec une alternative au Safe Harbor qui préserverait les droits de chacun sans porter atteinte à la globalité d’Internet.
Il propose :
- Que les droits des personnes se déplacent avec leurs données : le gouvernement américain accepterait de n’accéder aux données personnelles d’un citoyen européen, stockées aux États-Unis, qu’avec des mesures en accord avec le droit européen. Et inversement.
- Que le processus d’accès transatlantique aux données soit accéléré : un gouvernement soumettrait une demande, légale dans sa juridiction, d’accès aux données d’un ressortissant directement aux autorités compétentes du pays du ressortissant. Si ces autorités jugent que la demande est conforme aux directives de protection des données et aux lois nationales, elles autorisent la divulgation. Un tel processus satisferait l’exigence européenne d’une protection « essentiellement équivalente » à celle dont les citoyens européens jouissent localement, et permettrait aux Américains dont les données sont hébergées en Europe d’être protégés par le droit américain en conformité avec la constitution américaine.
- Que la seule exception concernerait les citoyens ayant traversé l’Atlantique : les autorités américaines obtiendraient l’accès aux données personnelles d’un citoyen européen vivant aux États-Unis exclusivement selon les lois et les procédés américains. Et inversement pour un citoyen américain expatrié en Europe.
- Que les demandes d’accès aux données d’un client d’une entreprise légitime passent exclusivement par cette entreprise, même si les données sont stockées dans le nuage.
Tout en reconnaissant qu’il faudra s’intéresser à des nuances et des complexités additionnelles, Smith estime que cette approche est une opportunité pour les états de moderniser des lois et des procédés périmés.