Hier, la Cour de Justice européenne a invalidé l'accord Safe Harbor sur lequel s’appuyaient des milliers d'entreprises pour déplacer les données personnelles de l’autre côté de l'Atlantique. Depuis les révélations sur la surveillance exercée par l’agence de sécurité nationale américaine (NSA), le tribunal estime que l'accord passé en 2000 ne suffit plus à garantir la vie privée des Européens dès l’instant où leurs données sont stockées aux Etats-Unis. Même si la loi peut rester dans le flou pendant des mois, voire des années, les entreprises devraient chercher des alternatives au Safe Harbor. C’est en tout cas l’avis des avocats qui se sont exprimés lors d'une téléconférence organisée par l'International Association of Privacy Professionals (IAPP), première association mondiale de professionnels travaillant sur la protection des données.

« Les entreprises qui font des affaires entre l’Europe et les Etats-Unis et qui ont appliqué l'accord de bonne foi, bénéficieront sans doute d’une courte période de grâce avant que les autorités chargées de la protection des données ne viennent frapper à leur portes », a déclaré Brian Hengesbaugh, du cabinet d'avocats Baker & McKenzie et ancien membre de l'équipe qui a rédigé le Safe Harbor Agreement. Selon lui, « une action immédiate contre ces entreprises serait considérée comme un abus d'autorité de la part de ceux qui sont chargés de l'application de la loi », a-t-il ajouté.

Un délai beaucoup trop court

Mais pour d’autres, notamment les grandes entreprises américaines et les fournisseurs de services, le délai risque d’être beaucoup plus court. « Dans les pays européens où elles stockent des données, ces entreprises devraient recevoir assez rapidement des demandes de la part des autorités chargées de la protection des données, pour expliquer comment elles justifient leurs transferts de données », a déclaré Eduardo Ustaran, du cabinet d'avocats londonien Lovells Hogan. « Les procès intentés par des particuliers ou des défenseurs des droits de la personne, comme celui initié par le citoyen autrichien Max Schrems qui a abouti à la décision de mardi, représentent une menace encore plus grande pour les entreprises qui stockent des données européennes aux Etats-Unis », a déclaré pour sa part Christopher Kuner, avocat principal spécialisé dans la protection des données au cabinet Wilson Sonsini Goodrich & Rosati de Bruxelles. « La décision de la Cour de Justice européenne va obliger les autorités chargées de la protection des données à enquêter sur toutes les plaintes », a-t-il ajouté.

Des alternatives au Safe Harbor

Les entreprises disposent déjà de solutions alternatives au Safe Harbor. Le groupe de travail de l’Article 29, composé de représentants des autorités nationales chargées de la protection des données, du Contrôleur européen de la protection des données (CEPD) et de la Commission européenne, a élaboré ce qu'il appelle des « règles d’entreprise contraignantes » qui s’appliquent aux transferts de données transatlantiques entre les entreprises. L'UE a également développé des « clauses types » qu’il est possible d'inclure dans les contrats passés avec des partenaires et des clients. « Les entreprises peuvent aussi rédiger leurs propres contrats ou établir des accords avec plusieurs parties », a déclaré l’avocat Eduardo Ustaran.

« L'utilisation d'un nouvel outil juridique ne signifie pas qu’il faut repartir de zéro. Certains textes de l'accord Safe Harbor peuvent être recyclés, et les « règles d’entreprise contraignantes » de l'UE sont assez similaires », a-t-il ajouté. Hier, Microsoft a annoncé que les « clauses types » de l'UE lui permettaient de continuer les transferts de données et de protéger juridiquement les clients de ses services cloud, notamment Azure Core Services et Office 365. 70 autres entreprises disent pouvoir s’appuyer sur les « règles d’entreprise contraignantes ».

Un travail d’identification des données critiques

Mais pour la majorité des 4000 entreprises qui dépendent du Safe Harbor, dont un grand nombre de petites et moyennes entreprises, il y a beaucoup à faire. « La plupart sont dans l’incertitudes », a déclaré l’avocat du cabinet londonien Lovells Hogan. Selon lui, elles devraient commencer par identifier les transferts de données critiques et chercher les alternatives possibles. « Chaque pays de l'Union européenne dispose de sa propre autorité de protection des données, et toutes n’ont pas forcément la même approche de la question », a déclaré l’avocat Christopher Kuner, du cabinet Wilson Sonsini Goodrich & Rosati de Bruxelles. Certaines pourraient estimer que le Safe Harbor est toujours adéquate.  Néanmoins, ce dernier déconseille aux entreprises de prendre un tel risque. Et, s’il est facile de télécharger les clauses contractuelles types, de les imprimer et de les signer, il leur recommande de s’assurer qu’elles peuvent les respecter et, si besoin, de les faire approuver par une autorité nationale chargée de la protection des données.

« La décision prise mardi va sans doute affecter les entreprises, mais les Etats-Unis et l'UE n’ont pas mis un terme à la plus grande menace qui pèse sur la confidentialité des données : la surveillance des données par les gouvernements », a déclaré Nuala O'Connor, présidente et CEO du Centre pour la démocratie et la technologie. « Je ne pense pas que la vie privée d’une personne est mieux protégée aujourd'hui qu'elle ne l'était hier », a-t-elle ajouté. « Les États-Unis et l'UE ont déjà commencé à travailler sur un nouvel accord Safe Harbor, mais compte tenu de certains sujets, notamment la question de l'espionnage exercé par les gouvernements, un Safe Harbor 2 n’est pas pour demain », a encore estimé Eduardo Ustaran.