Document : Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing
Le Safe Harbor est un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001. Les entreprises établies aux États-Unis peuvent adhérer à ces principes auprès du Département du Commerce américain. Cette adhésion les autorise à recevoir des données en provenance de l’Union européenne. Dans un tel cas, le transfert ne requiert pas d’autorisation préalable de l’autorité de protection des données personnelles du pays exportateur en Europe (par exemple la CNIL en France).
Le document, sous forme de questions-réponses, a pour objet de justifier le recours au Safe Harbor comme protection adéquate dans un contrat de cloud computing et ce pour faciliter la conclusion de contrats avec des prestataires de cloud américains.
Mais il s’agit surtout de répondre à certaines craintes et contraintes qui sont apparues en Europe et qui sont reflétées dans l’opinion 05/2012 du Groupe de l’article 29 sur le cloud computing [1] (voir aussi notre article sur ce sujet : Les recommandations du Groupe 29 (WP29) sur le Cloud : quoi de plus ? [2] )
Un niveau de protection qui se suffit à lui-même
Il est précisé qu’en cas de transfert de données à une entité Safe Harbor, les parties n’ont pas à conclure de contrat reprenant les clauses types de la Commission européenne.
Bien que cette réponse soit exacte, il faut noter qu’il y a une certaine méfiance quant au respect effectif par les entreprises américaines des principes auxquels elles ont adhéré. Le groupe de l’article 29 précise que les législations nationales des États membres peuvent exiger certaines garanties contractuelles (et notamment des informations sur les sous-traitants ou la traçabilité des données).
Le Département du commerce s’insurge contre toute contrainte additionnelle que l’on serait tenté d’imposer.
Mais force est de constater qu’en Allemagne, par exemple, il est nécessaire d’inclure un grand nombre de clauses contractuelles similaire aux clauses types. La CNIL aussi a imposé un certain nombre de contraintes, tout en évitant cependant de trancher la question de leur application à une société certifiée Safe Harbor (voir notre article à ce sujet : Les recommandations de la CNIL sur le cloud : enfin !! [3] ) .
Le Safe Harbor offrirait une protection au-delà des USA
Le Département du commerce relève la phrase du groupe 29 selon laquelle la protection du Safe Harbor, est « limitée géographiquement » et ne couvrirait donc pas l’intégralité des transferts dans le nuage.
Il rappelle que le Safe Harbor couvre aussi les « transferts ultérieurs »: à savoir les transferts de données par le prestataire américain à ses sous-traitants (que ce ceux-ci soient situés aux USA ou ailleurs) et écarte l’argument selon lequel il n’y aurait pas de garantie de contrôle ou contrainte par les autorités hors des USA.
Il est à noter que le raisonnement du Département du commerce repose notamment sur le principe qu’il y a d’abord un transfert des données vers l’entité safe harbor puis des transferts ultérieurs. Il me semble que c’est là un point très délicat. Si juridiquement on peut concevoir que la chaine des contrats reflète cette assertion, il est certain que ce ne sera pas le cas des « flux » physique de données dans le nuage. Or, pour certaines autorités c’est bien le flux physique qui importe.
Le caractère adéquat s’impose aux autorités
Le Département affirme avec force qu’une autorité d’un État membre de l’UE européenne ne peut pas refuser de considérer le Safe Harbor comme adéquat. Et c’est clairement là que le bât blesse pour les détracteurs du Safe Harbor.
Pour finir, le département minimise l’importance de l’intervention de la commission Libertés Civile, Justice et Affaires Intérieures (LIBE) qui a demandé à ce que toute les décisions d’adéquation, y compris celle du Safe Harbor, soient revues dans un délai de 2 ans après la mise en œuvre du Règlement (encore à l’état de projet) qui a vocation à remplacer la Directive 95/46 sur la protection des données personnelles. En tout état de cause même si cette révision devait avoir lieu à plus ou moins long terme, il est difficile d’envisager l’absence d’un accord avec les États-Unis compte tenu de l’importance des échanges avec ce pays.
Ce document révèle une passe d’armes entre les USA et certaines autorités de l’UE. Même s’il semblerait que certains prestataires de cloud ont déjà dû adapter leurs contrats pour leurs grands comptes, l’enjeu reste important pour la commercialisation au grand public ainsi qu’aux petites et moyennes entreprises.
Stéphanie Faber est membre de voxFemina – Paroles d’Experts au Féminin
________________________
[1] Groupe de l’article 29 : avis 05/2012 sur l’informatique en nuage
[2] Les recommandations du Groupe 29 (WP29) sur le Cloud : quoi de plus?