Après plus de dix années d’existence, le cadre du Safe Harbor, et la manière dont il est mis en œuvre, font l’objet de nombreuses critiques dans l’UE. Si la Commission européenne décide de prendre des mesures, cela aura un impact positif et/ou négatif pour plusieurs entreprises luxembourgeoises : mettre en avant la qualité des data centers luxembourgeois ou devoir modifier leur politique de transfert de données vers les USA.

Le Safe Harbor est un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne. Par une (auto-)certification de conformité avec ces 7 principes, le Safe Harbor doit assurer une protection pour les transferts de données en provenance de l’UE vers des entreprises établies aux Etats-Unis.

CNPD Versus « Europe-v-Facebook »

Au Luxembourg, la Commission Nationale pour la Protection des Données (CNPD) avait rejeté une plainte initiée par le groupe de défense des droits à la protection des données « Europe-v-Facebook » contre Skype et Microsoft Luxembourg. Pour « Europe-v-Facebook », des données auraient été massivement transférées par ces deux sociétés vers la NSA dans le cadre du programme PRISM (PRISM est le très controversé programme de surveillance américain par lequel des données à caractère personnel ont été espionné).

Pour la CNPD ces transferts sont tout à fait légaux, car executés dans le respect des principes du Safe Harbor qui restent en vigueur à l’heure actuelle. A la question y a t-il vraiment eu des échanges, elle répondait ne pas pouvoir excercer en dehors du territoire et ne pas disposer de preuves suffisantes pour tenter d’investiguer aux USA. A l’époque (novembre 2013), cette décision avait été fortement contesté et la Commission européenne avait clairement fait savoir qu’en aucun cas Safe Harbor servait à couvrir l’espionnage massif et systématique de l’agence américaine.

La critique de trop

L’affaire PRISM est un révélateur du manque de sécurité des données transférées aux USA et de l’importance d’une refonte du Safe Harbor Framework. Avec la montée de ces critiques, la Commission européenne a publié un rapport le 27 novembre 2013. Sans surprise, il résulte de ce rapport que l’actuel Safe Harbor fait preuve d’un manque crucial de sécurité juridique.

La Commission européenne demande donc une modification de celui-ci et plaide notamment pour plus de transparence et pour un plus grand contrôle des entreprises déclarant respecter ces principes (par la mise en place d’audit). Mais aussi, pour une clarification des conditions sous lesquelles les autorités américaines peuvent accéder aux données à caractère personnel d’origine européenne, pour le moment légalement détenues par des entités américaines conformément aux principes du Safe Harbor.

Si le Safe Harbor est modifié, les entreprises Luxembourgeoises devront revoir leur politique de transfert de données vers leurs maisons-mère et/ou des data centers aux USA. Cependant, une limitation des flux vers les USA, pourrait avoir pour conséquence que les data centers situés en UE seront préférés aux data centers des USA. Ce qui donne donc des perspectives intéressantes pour le Luxembourg, qui est le pays de l’UE avec la plus haute concentration de data centers garantissant un degré élevé de sécurité.

Rédigé sur un communiqué de Vincent Wellens, Partner NautaDutilh (en photo) et Nicolas Rase, Associate NautaDutilh