L'accord Safe Harbor initial permettait aux entreprises de stocker et de traiter les informations personnelles des citoyens européens aux États-Unis à condition de respecter strictement la réglementation européenne sur la protection des données personnelles. Mais, en octobre dernier, dans une affaire relative aux activités de Facebook invoquant les révélations d’Edward Snowden, la Cour de Justice de l'Union européenne a remis en question la légalité de ces transferts, aussi bien pour les petites que pour les grandes entreprises.

Dans les discussions entamées avec leurs homologues américains pour remplacer le Safe Harbor, les négociateurs européens essayent d’obtenir de nouvelles concessions. Mais, plutôt que de céder sur les principes, les négociateurs ont préféré laisser passer la date limite du 31 janvier imposée par les autorités européennes de régulation de la vie privée. « D'intenses négociations sont en cours. Elles sont constructives, mais il n'est pas question d’arriver à un accord à tout prix. Le nouvel accord doit respecter les critères fixés par la Cour de justice européenne », a déclaré vendredi, le porte-parole Christian Wigand, lors du briefing quotidien de la Commission.

Le Sénat américain doit se prononcer sur les demandes européennes

En particulier, la Cour demande un droit de recours légal pour les citoyens de l'UE dont les données personnelles seraient détenues de façon inappropriée par les autorités judiciaires, les agences de renseignement et d'autres organismes publics américains, après le transfert de ces données aux États-Unis. L’absence persistante d'un tel droit dans la loi américaine est un point d'achoppement pour les législateurs européens. La Chambre des représentants américaine a déjà approuvé un texte appelé Judicial Redress Act qui satisferait les demandes européennes, mais le projet de loi n'a pas encore reçu l'approbation du Sénat. Jeudi soir, la commission des Affaires judiciaires du Sénat américain a donné son assentiment, mais elle n'a pas encore fixé de calendrier pour l’adoption définitive de ce texte.

Le Safe Harbor Act, qui régissait le transfert de données entre l’Europe et les États-Unis, permettait aux entreprises de traiter légalement sur le territoire américain des informations personnelles recueillies sur les citoyens européens. Mais, en 2013, les révélations d’Edward Snowden sur les activités de l'Agence nationale de sécurité des États-Unis (NSA) ont clairement montré que l'accord n’offrait pas aux données détenues aux États-Unis une protection équivalente à celles imposées en Europe par la directive de 1995 sur la protection des données. Depuis cette date, les représentants de la Commission européenne réclamaient une modification de l'accord.

Un citoyen autrichien en guerre contre Facebook

Néanmoins, l'invalidation du Safe Harbor Act par la Cour de justice de l'Union européenne le 6 octobre dernier a pris les entreprises au dépourvu. Le tribunal avait été appelé à se prononcer sur une question beaucoup plus restreinte dans une affaire intentée contre le Commissaire à la protection des données irlandais par un Autrichien du nom de Max Schrems. Ce dernier contestait la façon dont le Commissaire avait traité sa plainte contre Facebook. En tant qu’utilisateur de Facebook, Max Schrems lui demandait de statuer sur le fait que, à la lumière des révélations d’Edward Snowden, l'accord Safe Harbor appliqué par Facebook pour traiter ses informations personnelles sur le territoire américain ne fournissait pas les protections de confidentialité exigées par la directive de 1995.

Depuis octobre Facebook n'a pas changé ses pratiques, affirmant qu’il ne s’appuyait pas sur le Safe Harbor pour justifier la légalité de ses activités. La directive permet en effet aux entreprises de choisir d’autres solutions pour protéger la vie privée de leurs clients quand elles transfèrent leurs données personnelles aux États-Unis, notamment la signature avec des partenaires américains de clauses contractuelles types approuvées par la Commission européenne, et des règles internes d'entreprise ou Binding Corporate Rules (BCR) qui « permettent d'offrir une protection adéquate aux données transférées depuis l'Union européenne vers des pays tiers à l'Union européenne au sein d'une même entreprise ou d'un même groupe ». Néanmoins, des questions se posent pour savoir si ces outils répondent toujours aux normes fixées par la Cour de Justice européenne. Les autorités européennes de protection des données se réuniront mardi 2 février pour finaliser leur rapport sur l'impact de l’invalidation du Safe Harbor Act sur les autres outils de transfert de données, avant sa présentation, prévue mercredi.