La Cour Européenne vient d’invalider la décision adoptée le 26 juillet 2000 n°520/2000/EC3, appelée "Safe Harbor"

 

Réactions mitigées apres  la décision de la Cour Européenne d’invalider la décision adoptée le 26 juillet 2000 n°520/2000/EC3, appelée "Safe Harbor"

 

 

Suite à l’affaire Max Schrems, la Cour Européenne vient d’invalider la décision adoptée le 26 juillet 2000 n°520/2000/EC3, appelée "Safe Harbor", qui permettait le libre transfert des données personnelles des citoyens de l'Union européenne à des entreprises situées aux États-Unis. La Cour irlandaise qui avait saisi la CJUE est donc invitée à examiner la plainte de M. Schrems et à évaluer s’il convient de suspendre les transferts de données personnelles des abonnés Facebook européens vers les Etats Unis.

 

 

 

 

Safe-Harbor

 

  

La directive sur le traitement des données à caractère personnel1 dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Toujours selon la directive, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. Enfin, la directive prévoit que chaque État membre désigne une ou plusieurs autorités publiques chargées de surveiller l’application, sur son territoire, des dispositions nationales adoptées sur le fondement de la directive (« autorités nationales de contrôle »).

 

M. Maximillian Schrems, un citoyen autrichien, utilise Facebook depuis 2008. Comme pour les autres abonnés résidant dans l’Union, les données fournies par M. Schrems à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États-Unis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays. L’autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 20002 , la Commission a considéré que, dans le cadre du régime dit de la « sphère de sécurité » 3 , les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées. 

   

 

 

Réactions:

 

 

Pour la CNIL: une décision clé pour la protection des données

 

07 octobre 2015

 

(Communiqué CNIL) Par une décision du 6 octobre 2015, la CJUE a invalidé la décision par laquelle la Commission européenne avait constaté que les États-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées. Cet arrêt est majeur pour la protection des données.

 

Le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant (ou « adéquat ») des données personnelles. La Commission européenne peut constater qu’un Etat n’appartenant pas à l’Union assure un tel niveau de protection. C’est ce qu’elle a fait, pour les Etats-Unis, à propos de la « sphère de sécurité » (« safe harbor ») par une décision du 26 juillet 2000.

 

Saisie dans le cadre d’une question préjudicielle, la Cour de Justice de l’Union européenne (CJUE) a jugé que, pour se prononcer sur le niveau de protection assuré par la « sphère de sécurité », la Commission européenne ne pouvait se limiter à la seule analyse de ce régime, mais devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ». 

 

Sur le fond, la CJUE a relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux législations américaines d’ordre public et doivent, par suite, écarter « sans limitation » l’application des clauses du « safe harbor » qui leur seraient contraires. La CNIL avait déjà, y compris avec ses homologues du G29, attiré l’attention depuis plusieurs années sur la situation créée par la législation américaine et sur le caractère disproportionné d’une collecte massive et indifférenciée de données. Elle avait également attiré l’attention, dans ce contexte, sur les insuffisances du « safe harbor ». 

 

Constatant que la Commission n’a pas recherché si les Etats-Unis « assurent » effectivement une protection adéquate, la Cour prononce ainsi l’invalidation de la décision d’adéquation.

 

En termes de procédure, la Cour a également jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection, les autorités nationales de protection des données (telles que la CNIL) doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive. Elle en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision de la Commission européenne invalidée ne pouvait priver les autorités de contrôle d’une telle possibilité.

 

Concrètement, l’invalidation de la décision de la Commission européenne qui reconnaissait l’adéquation du « safe harbor » pose donc la question du niveau de protection des données personnelles transférées aux Etats-Unis. Les autorités de protection des données devront examiner la validité des transferts qui leur sont soumis, en tenant compte du fait que la situation américaine n’est pas « adéquate ».

 

La CNIL va prochainement rencontrer ses homologues au sein du G29 afin de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ». 

 

 

 

Pour la cabinet d'avocats Pinsent Masons deux choses à retenir de cette décision :   

  - Elle s'inscrit dans la droite ligne de la position prise par la CJUE dans la récente affaire Weltimmo. Cette mise en avant de la liberté d’action des autorités nationales est surprenante dans le contexte d’adoption d’un règlement européen ayant pour volonté d’afficher une plus grande harmonie entre les législations européennes en matière de données personnelles.

 

 - Par ailleurs, la Cour fonde largement sa décision sur le fait que les principes de protection du Safe Harbor s'effacent devant les nombreuses exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des Etats Unis. Ainsi, la sphère de sécurité créée par le Safe Harbor paraît bien trop perméable ; les révélations d'Edward Snowden en 2013, sur les programmes de surveillance de masse américains en sont la parfaite illustration.

 

Toutefois, considérant qu'il n'est pas raisonnable de penser que les transferts UE / USA vont s'interrompre totalement, on peut se demander quelles protections supplémentaires des dispositifs, comme les clauses contractuelles standards ou les "binding corporate rules", pourront réellement offrir.

 Diane Mullenex et Annabelle Richard

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Pour l'éditeur BMC: 

 

La Cour de Justice Européenne vient de juger dans la matinée le principe de Safe Harbor ou Sphère de sécurité invalide.

Mis en place en 1998, ce dernier devait permettre à une entreprise américaine de certifier qu’elle respectait la législation de l’Espace Economique Européen pour obtenir le transfert de données personnelles de l’EEE vers les Etats-Unis. Cette invalidité va impliquer un renforcement du cadre sécuritaire autour de l’importation de données personnelles venues d’Europe de la part des entreprises basées aux Etats-Unis.

L’une des seules certifications qui pourront assurer un transfert sécurisé pour les entreprises américaines sont les BCR (Binding Corporate Rules).

 

En tant qu’acteur impliqué dans ces processus, et étant un des rares acteurs internationaux (liste globale ici) certifiées BCR, BMC exprime son point de vue sur cette actualité par la voix de Jonathan Perez, son Global Privacy Officer :

 

« La décision que vient de prendre la Cour de Justice Européenne envoie un message clair sur le fait que la Sphère de Sécurité n’est plus un cadre sur lequel il est possible de s’appuyer. Le contexte actuel voit le numérique intégrer toutes les couches de l’entreprise et de la société, et il est essentiel que les individus puissent faire confiance aux entreprises sur la manière dont ils protègent et gèrent leurs données. Safe Harbor a plus de 15 ans, il est donc normal de le réexaminer, d’autant plus au vu des nombreuses brèches de sécurité, fuites et manques de vigilance qui ont été exposé aux yeux du grand public concernant leurs données ces dernières années et ont instauré un climat de suspicion. Notre philosophie est d’instaurer un usage responsable des données, et cela passe par des efforts nécessaires tels que l’obtention des bonnes certifications comme les Binding Corporate Rules (BCR) que BMC vient de recevoir. L’industrie informatique doit embrasser le changement et progresser en matière de standards de protection. Ce n’est que par ce biais qu’un climat de confiance pourra être réinstauré à la fois chez les particuliers et au sein des entreprises, au bénéfice de l’économie numérique dans son ensemble. »

 

 

 

 

CNIL-2015

                                                                             source CNIL 2015

 

 

Pour l'Institut de la Souveraineté Numérique:

 

L'ISN se félicitait la semaine dernière des conclusions de l'avocat général de la Cour de justice de l'Union européenne concernant le "Safe Harbor" (voir le communiqué ci-dessous).

Ces conclusions ont été suivies par la Cour de justice avec la décision rendue ce matin décidant de suspendre l'accord transatlantique et ainsi donner un signal franc pour la protection des données personnelles des européens.

 

L’Institut de la Souveraineté Numérique (ISN) a accueilli avec satisfaction les récentes conclusions de l’avocat général de la Cour de justice de l’Union européenne dans l’affaire C362/14 (M. Schrems vs Data Protection Commissionner). Ces conclusions marquent en effet une inflexion importante dans l’application de la directive européenne sur la protection des données personnelles. Elles marquent aussi la nécessaire prise en compte des révélations d’Edward Snowden sur les pratiques de surveillance de masse mises en place par la NSA et leurs conséquences sur la protection des données des citoyens européens.

Ces révélations remettent en cause le principe de « sphère de sécurité » qui prévalait jusqu’alors pour le transfert des données personnelles entre l’Union européenne et les États-Unis. À ce propos, Bernard BENHAMOU, Secrétaire général de l’Institut de la Souveraineté Numérique, déclare : « En réaffirmant le rôle des autorités nationales de protection des données personnelles vis-à-vis de l’accord Safe Harbor, ces conclusions placent aussi le principe de souveraineté sur les données au cœur de la doctrine européenne ».

En raison de leur importance cruciale pour les citoyens et les entreprises européennes, l’architecture des services qui recueillent les données personnelles doit être réexaminée à la lumière des nouvelles mesures de surveillance mises en place en Europe et aux États-Unis.

Les données personnelles des citoyens européens doivent désormais être protégées à la fois par des mesures d’encadrement juridique adéquates et par des mesures de protection technologiques en particulier cryptographiques. En effet, au-delà des services existants, la montée en puissance des nouveaux objets connectés et l’évolution des algorithmes de traitement des données en masse (big data), rendent plus nécessaire encore la protection de ces données.

 

 

Pour l'éditeur Blue Coat: 

 

Aujourd'hui, la Cour de justice de l'Union européenne s'apprête à bouleverser les modalités de transfert de données entre les entreprises européennes et américaines : l'institution remet en effet en cause la validité de l'actuel cadre juridique Safe Harbor (Sphère de sécurité) pour garantir une protection rigoureuse de la confidentialité des données. Ce cadre juridique est l'accord fondamental permettant aux entreprises d'Union européenne d'échanger des données sur des clients, employés ou autres basés dans l'Union européenne avec des partenaires commerciaux et des fournisseurs de services basés aux États-Unis.


Une telle décision sèmerait le chaos auprès des milliers d'entreprises qui s'appuient uniquement sur ce cadre pour transférer et stocker des données en provenance de l'Union européenne aux États-Unis. Le Cloud computing est l'un des niveaux où l'impact de cette décision devrait être immédiatement ressenti par les organisations.

Blue Coat, éditeur de solutions de cybersécurité pour entreprises, propose des technologies qui permettent à ses clients dans le monde entier d'effectuer leur transition vers le Cloud de façon sûre et en respectant les normes en vigueur. Les applications Cloud font l'objet d'une adoption rapide en Europe, et le fait est que beaucoup de ces services Cloud nécessitent que les entreprises de l'Union européenne envoient des données vers des infrastructures Cloud situées aux États-Unis à des fins de traitement et de stockage. Ce transfert était possible dans le cadre de l'accord Safe Harbor, mais la décision prise aujourd'hui va changer cela et contraindre les organisations à réagir.

En effet, toute entreprise en de l'Union européenne possédant des données sur des employés, des clients ou des partenaires basés eux-mêmes en Union européenne devra réaliser un audit détaillé sur la façon dont ses données sont stockées et partagées en insistant tout particulièrement sur son utilisation du Cloud, et vérifier que ses usages sont conformes aux nouvelles exigences. 

Blue Coatreste attentif aux fluctuations des réglementations relatives à la confidentialité des données. C'est d'ailleurs l'une des raisons pour laquelle l'entreprise a récemment rachetéPerspecsys, un leader en matière de solutions pour entreprises de protection et de gestion de la résidence des données Cloud. Les solutions de Blue Coat concernant la  visibilité des données dans le Cloud, ainsi que ses produits de chiffrement et de tokenisation des données Cloud ont pour but d'aider ses entreprises clientes à assurer un usage sécurisé et conforme du Cloud (même lorsqu'il s'agit de s'adapter à des changements au niveau de règles de conformité comme c'est le cas aujourd'hui).

Pour Mike Fey, Président et directeur des opérations de Blue Coat :


« 1/ Certaines entreprises seront en position idéale pour s'adapter à ces nouvelles exigences, tandis que d'autres (en particulier dans des secteurs sensibles à ces questions comme la finance et la santé) peineront dans cet exercice, et courront le risque d'être pénalisées pour leur non-conformité. 

 

2/ Bien que cela affecte immédiatement l'Union européenne et les sociétés qui font des affaires dans les pays de l'Union européenne, cela va se propager. Avec les pays qui vont prendre exemple ou « contre attaquer », toutes les entreprises devraient être préparés au fait que cela devienne un problème beaucoup plus vaste au fil du temps.

 

3/ Cela aura un impact fort sur l'investissement et la performance financière. Non seulement les entreprises vont avoir besoin de construire de nouveaux Datacenter dans les pays où des données doivent désormais rester, mais cela aura également un impact sur la capacité des fournisseurs de services à vendre à des régions entières. »

 

 

L'intégralité de l'article est réservée à nos abonnés

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements This email address is being protected from spambots. You need JavaScript enabled to view it.

  

 

BONUS:

https://www.laquadrature.net/fr/safe-harbor-lettre-cnil

 

http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf

 

 

http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d540374cf4cd3342a5be37ee0dc3c8d5d0.e34KaxiLc3eQc40LaxqMbN4ObNyNe0?text=&docid=169195&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=135884

 

http://www.cnil.fr/linstitution/international/les-autorites-de-controle-dans-le-monde/

 

http://www.cnil.fr/nc/linstitution/actualite/article/article/invalidation-du-safe-harbor-par-la-cour-de-justice-de-lunion-europeenne-une-decision-cl/

 

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151006_wp29_press_release_on_safe_harbor.pdf

 

 

 LOUIS SCHWEITZER COMMISSAIRE GENERAL A L'INVESTISSEMENT

 

C o m m u n i q u é d e p r e s s e

 

www.economie.gouv.fr

 

Paris, le 5 octobre 2015 N° 877

 

Axelle LEMAIRE, secrétaire d’Etat chargée du Numérique lance un nouvel appel à projets pour soutenir les technologies innovantes en matière de protection de la vie privée Axelle LEMAIRE, secrétaire d’Etat chargée du numérique et Louis SCHWEITZER, commissaire général à l’investissement, annoncent le lancement d’un nouvel appel à projets1 du Programme d’investissements d’avenir (PIA) pour soutenir les technologies innovantes en matière de protection de la vie privée. Cet appel à projets pourra mobiliser jusqu’à 10 M€ de financements du PIA. Il permettra de soutenir les projets des entreprises innovantes dans trois domaines : - Les techniques d’anonymisation des données personnelles - La protection de la vie privée dans les objets connectés - Les architectures innovantes en matière de protection de la vie privée, comme les architectures distribuées Cette initiative s’inscrit dans la démarche gouvernementale de financement de l’innovation et de la recherche et développement dans le « cœur de filière » numérique. Il s’agit de cibler les technologies clés pour l’économie numérique de demain (cloud computing, big data, simulation, cybersécurité). 1

 

Publié à l’adresse : http://www.gouvernement.fr/sites/default/files/contenu/piece-jointe/2015/10/cahier_des_charges_aap_pdp_151002_vf.pdf

 

Avec cet appel à projets, le gouvernement souhaite encourager les bonnes pratiques technologiques en matière de respect de la vie privée et soutenir les entreprises, PME et start-ups qui développent des solutions dans ce domaine. Il souhaite également répondre aux attentes de nos concitoyens pour des technologies plus respectueuses de la vie privée. Axelle LEMAIRE a fait un déplacement lundi 5 octobre auprès de la société Dashlane, start-up créée en 2011 qui développe un gestionnaire d’identité et de mots de passe sécurisé utilisé par 3 millions d’internautes partout dans le monde. Par ailleurs, la secrétaire d’Etat a annoncé la signature d’une charte avec les principaux opérateurs français pour sécuriser les échanges d’email entre leurs services de messagerie électronique. Cette signature aura lieu dans les prochains jours.

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information