Safe Harbor, données personnelles et e-reputation
- 3 commentaires

Vers un nouveau cadre de régulation de la data privacy entre l’UE et les USA ?

Safe Harbor, données personnelles et e-reputation

Safe Harbor, données personnelles et e-reputation

 

Si la CNIL en France et ses homologues européens militent depuis plus de dix ans pour faire connaître la réglementation européenne en matière de données personnelles (directive 95/46/CE), peu d’individus savent que les Etats-Unis bénéficient d’un régime privilégié appelé Safe Harbor Principles, visant à faciliter le transfert de données de l’Europe vers cet Etat.

Or, les milieux autorisés s’accordent à dire que cet accord qui tient plus du soft law que d’une règle impérative, pourrait être revu voire abrogé en raison des modifications substantielles qui pourraient être prochainement apportées à la réglementation européenne, afin de renforcer le niveau de protection en matière de données personnelles.

Imaginons ainsi que demain les milliards de données qui transitent vers les Etats-Unis chaque jour fassent l’objet d’une réglementation véritablement contraignante….

Business is Business : petit rappel sur l’origine du Safe Harbor

En 1995, l’Union Européenne innove en adoptant une réglementation globale contraignante afin de protéger les données personnelles et la vie privée sur l’ensemble du territoire de l’Union. Les Etats-Unis, partenaire économique majeur de l’UE, voient cette réglementation d’un mauvais œil et craignent que cela n’ait des incidences néfastes sur leurs relations. On les comprend car tout transfert de données en dehors de l’Europe doit normalement recevoir une autorisation préalable de la CNIL ou de son équivalent dans les autres Etats de l’UE. La gestion de telles procédures au regard des quantités de données concernées représenterait à la fois un frein pour l’économie et un coût important pour les sociétés.

La Federal Trade Commission et la Commission Européenne ont alors négocié un accord privilégié visant à faciliter les transferts de données et donc les échanges économiques. Toute entreprise américaine adhérant ainsi au Safe Harbor peut se faire transférer librement des données provenant de l’UE, et ce sans aucune autorisation préalable des autorités européennes.

Mais le Safe Harbor qu’est-ce que c’est ?

Il faut savoir que les Etats-Unis n’ont pas de réglementation fédérale globale sur la protection des données. Seules quelques réglementations sectorielles existent et chaque état fédéré est ensuite libre d’adopter ses propres lois en la matière.

Le Safe Harbor est ainsi censé garantir que les sociétés américaines adhérant à l’accord ont un niveau de protection des données équivalent à celui du droit européen. L’intention est louable et a produit des effets positifs mais reposant sur un système d’auto-adhésion et dépourvu d’un organe administratif indépendant de contrôle, le Safe Harbor tient plus du soft law voire de l’outil marketing.

Le meilleur exemple pour résumer cela est certainement celui de Facebook qui est partie à l’accord et s’engage à coopérer avec les autorités européennes de protection. Connaissant la philosophie de Facebook en matière de données personnelles, les beaux principes du Safe Harbor font sourire.

La remise en cause du Safe Harbor est-elle possible mais surtout souhaitable ?

Bien qu’imparfait, le Safe Harbor a au moins le mérite d’avoir mis d’accord les Etats-Unis et l’Union Européenne sur un sujet délicat et stratégique. Le rejeter complètement sous prétexte qu’il ne s’agit pas d’une réglementation contraignante serait trop réducteur et reviendrait surtout à faire preuve d’un idéalisme dépassé véhiculant la croyance que la loi est le remède à tous les maux.

Il existe des impératifs économiques et des spécificités socioculturelles qui rendent difficile voire impossible la modification substantielle du Safe Harbor. Les américains comprennent difficilement certaines notions comme le « droit à l’oubli » et envisagent essentiellement la protection des données par le biais de la protection du consommateur. Ce n’est d’ailleurs pas un hasard si le Safe Harbor Framework dépend de la Federal Trade Commission. Pour les Etats-Unis, l’enjeu de la protection des données est essentiellement économique. A contrario, L’Europe est plus attachée à une vision non mercantile de la protection des données, privilégiant la vie privée au concept anglo-saxon de privacy.

En modifiant la directive sur la protection des données personnelles, la Commission européenne serait en mesure d’anéantir le Safe Harbor, mais un tel choix serait économiquement et politiquement suicidaire s’il n’est concerté avec les Etats-Unis. Il est néanmoins souhaitable voire nécessaire que les Etats-Unis augmentent leur niveau de protection des données et réfléchissent philosophiquement au concept de « droit à l’oubli numérique » tant la prolifération de mémoires numériques permanentes sur les individus, risque d’avoir des conséquences très néfastes, aux Etats-Unis comme dans le reste du monde.

Batailles rangées entre lobbyistes

En attendant les futurs rebondissements sur la modification du régime européen et la possible adoption d’une législation fédérale aux Etats-Unis, les lobbyistes ont commencé leurs campagnes d’influence. Google est donc en émoi et Peter Fleischer (Global Privacy Counsel) en a profité pour publier un article presque dithyrambique sur le Safe Harbor : Our commitment to the Safe Harbor privacy framework.

Vu les quantités astronomiques de données personnelles que brassent les multinationales, on comprendra aisément que Google et consorts prônent le maintien du soft law comme moteur de la réforme de la protection des données.

Les Etats-Unis défendent également activement leur position à travers des revues scientifiques comme Oxford University Press (Safe Harbor—a framework that works). Les prochains mois promettent ainsi de riches enseignements en termes de stratégie d’influence.