Les principes dits du « Safe Harbor » (« sphère de sécurité ») permettaient le transfert de données personnelles vers des pays non européens dès lors qu’un niveau de protection adéquat était proposé par l’entité destinataire des données personnelles.
Jusqu’à son invalidation par l’arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015, le dispositif avait vocation à garantir la protection de données personnelles à l’occasion de transferts internationaux, notamment vers les Etats-Unis d’Amérique, puisque les sociétés adhérentes au Safe Harbor s’engageaient à respecter un certain nombre d’obligations en matière de traitement des données personnelles.
Lire aussi : Le trompe-l’œil de la fin du « Safe Harbor »
La décision de la Commission européenne créant ce cadre juridique en 2000 avait permis d’éviter de nuire au développement de ce qui est devenu l’économie numérique. Le mouvement d’internationalisation des traitements de données personnelles s’est poursuivi à mesure que la dématérialisation des services et du développement de nouveaux outils comme les réseaux sociaux le permettait.
La fin d’un cadre de protection ineffectif
Néanmoins, le Safe Harbor ne permettait pas en pratique une protection effective des données personnelles conforme au standard européen : de nombreux transferts internationaux de données pouvaient être conformes au principe du Safe Harbor sans pour autant être conformes aux principes du droit des états membres de l’Union européenne et des États membres du conseil de l’Europe.
Des sociétés étrangères agissant conformément aux Safe Harbor ont ainsi été ouvertement condamnées par les autorités de contrôle des États membres de l’Union européenne pour le traitement des données personnelles auquel elles procédaient en Europe.
Lire aussi : Nos données nous appartiennent
En France, une décision de la Commission informatique et libertés (Cnil) du 3 janvier 2014 a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de Google pour violation de la loi informatique et libertés. L’agence espagnole de la protection des données personnelles (AEPD) avait précédemment condamné Google au paiement d’une sanction de 900 000 euros.
Promotion du standard européen de protection des droits
La période post Safe Harbor qui s’ouvre constitue donc une opportunité de progrès en faveur d’un respect effectif du standard européen de protection des droits des individus sur les données personnelles les concernant.
Les autorités nationales seront dorénavant clairement fondées à poursuivre les sociétés étrangères pour non-respect du standard européen de protection des données personnelles correspondant aux exigences les plus élevées au monde.
Lire aussi : Les vrais garants de la protection de nos données
Le problème essentiel des bases de données personnelles numériques tient à la facilité avec lesquelles elles sont copiées et circulent dans une économie des services internet mondialisés. Ainsi cette situation requiert de fait le respect du standard de protection le plus élevé, sauf à créer des murailles entre des bases de données distinctes par continent, étanches les unes avec les autres. Cette option rendrait possible un respect de règles différentes selon les continents, mais rétablirait les frontières techniques qu’Internet avait de fait aboli.
Le cadre juridique de référence ne peut en réalité être que celui du respect du droit européen imposant aux opérateurs étrangers une protection conforme à laquelle ils s’engageraient par contrat vis-à-vis des citoyens et consommateurs européens.
Une voie ouverte à des accords adaptés à chaque situation
La garde des sceaux Christine Taubira a déclaré qu’il y a nécessité à agir « vite » afin de s’accorder sur un cadre juridique de substitution. Néanmoins, le succès d’une renégociation d’un accord de substitution offrant un standard de protection suffisant est très incertain. En effet, un tel régime de protection équivalent imposerait une législation « équivalente » dans les États tiers alors qu’elle est insuffisante, voire inexistante.
La négociation de contrats spécifiques, notamment selon des formes déjà utilisées (« clauses contractuelles types » ou « binding corporate rules ») est en mesure d’apporter une réponse appropriée à chaque situation, en fonction des services concernés et des finalités des traitements en cause. Le souci d’opérateurs économiques responsables à l’égard du respect des droits des individus étant moteur de la bonne fin des négociations.
L’arrêt de la Cour européenne de justice enclenche donc un processus salutaire de nature à renforcer la protection des droits fondamentaux des citoyens de l’Union européenne, tout en offrant aux entreprises concernées une opportunité d’autorégulation par le contrat, en conformité avec les dispositifs impératifs de protection des données personnelles.
