Safe Harbor, pourquoi cela n'a pas marché ?

Technologie : En octobre 2015, la Cour de justice de l’Union européenne invalidait l’accord Safe Harbor encadrant le transfert des données personnelles vers les Etats-Unis. Dans le prolongement de l’affaire Prism, elle mettait fin à un système n’offrant pas de garanties suffisantes. Flash-back.

C’est donc un autrichien de 27 ans qui a fait tomber le Safe Harbor, le cadre juridique qui a régenté des années durant le transfert des données personnelles vers les Etats-Unis. Après avoir découvert l’ampleur de la collecte de données effectuée par Facebook, Maximilian Schrems avait saisi la Cour de justice de l’Union Européenne (CJUE) qui lui a donné raison.

Safe Harbor, pourquoi cela n'a pas marché ? - 2017 - 2018 

Dans son arrêt du 6 octobre 2015, la CJUE a estimé que les autorités publiques américaines pouvaient accéder de manière massive et indifférenciée aux données transférées, sans assurer de protection juridique efficace aux personnes concernées.

Onze mois plus tôt, la Cnil et ses homologues européennes du G29, avait attiré l’attention, dans un épais document, sur le caractère disproportionné de cette collecte massive et indifférenciée de données permise par la législation américaine. En 2013, Edward Snowden avait préparé le terrain en révélant aux yeux du monde le programme américain de surveillance électronique Prism.

Des prestataires auto-certifiés

Négociés entre les autorités américaines et la Commission européenne en 2000, les principes régissant Safe Harbor ou « sphère de sécurité » étaient assez sommaires. Dans l’esprit de la directive européenne de 1995, le texte accordait la possibilité à un citoyen européen de s’opposer à un transfert ou à une utilisation des données pour des finalités différentes.

Le responsable du traitement de données sensibles devait recueillir le consentement explicite de l’intéressé, lui accorder un droit d’accès et de rectification, et assurer un niveau de protection des données suffisant.

Directrice du cabinet TNP CIL Consulting, Florence Bonnet ne regrette pas la fin du Safe Harbor. « C’était un système d’auto-déclaration. Selon leur bon vouloir, les entreprises pouvaient se certifier et appliquer ou non les règles. » Les mesures de contrôles relevant de la Federal Trade Commission étaient notoirement insuffisantes. « De leur côté, les citoyens n’avaient pas véritablement les moyens d’obtenir réparation. »

Coup dur pour les acteurs du cloud américain

L’arrêt de Safe Harbor a toutefois été un coup dur pour les quelque 5 000 entreprises certifiées dont Microsoft Azure, Amazon Web Services, Google ou Facebook. Elles perdaient du jour au lendemain le cadre juridique régissant leurs activités européennes. Pendant la période transitoire, la Cnil recommandait alors de recourir aux clauses contractuelles types de l’Union européenne ou aux Règles internes d’entreprises (BCR).

L’affaire des écoutes de la NSA avait déjà mis à mal l’industrie du cloud américain Une étude conduite par l’Information Technology and Innovation Foundation (Itif) chiffrait à 31 milliards de dollars les pertes pour les prestataires de cloud outre-Atlantique suite à l’affaire Prism. Dans une autre étude de 2014 menée cette fois par le cabinet Vanson Bourne, 97 % des DSI français disaient préférer contracter avec un prestataire européen.

Et pour cause, par effet dominos, une entreprise européenne ayant utilisé un service américain pour héberger les données personnelles de ses clients ou de ses salariés pouvait être la cible de poursuites. La localisation de données sur le vieux Continent par l’implantation de datacenters en Europe par ces fournisseurs ne résolvait qu’une partie du problème.

Comme le confiait à l’époque Florence Chafiol, associée au cabinet August & Debouzy, à ZDNet, « les transferts ne sont pas forcément physiques. Ils peuvent être virtuels. Si une société américaine accède par exemple à des données personnelles stockées sur le territoire français, c’est un transfert. La consultation peut être considérée comme un transfert ».

Safe Harbor, pourquoi cela n'a pas marché ?

Source : L’article Safe Harbor, pourquoi cela n'a pas marché ? >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

Safe Harbor, pourquoi cela n'a pas marché ? - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:26+00:00

Laisser un commentaire