Analyse

Safe Harbor: en Suisse rien ne change, pour l’instant

L’invalidation du Safe Harbor met la pression sur les Etats-Unis de négocier rapidement un nouvel accord. En Suisse, ainsi que pour de nombreux services cloud aux entreprises, la situation reste inchangée.

L’invalidation du régime du Safe Harbor par la Cour de Justice de l’UE (CJUE) est un petit séisme. Nombre de sociétés américaines, à commencer par les réseaux sociaux, transfèrent les données personnelles de leurs abonnés dans leurs data centers américains. Elles pourraient se voir obligées d’abandonner cette pratique suite à des plaintes dans les divers pays de l’UE. À ce titre, beaucoup observeront attentivement le développement de la plainte déposée en Irlande par l’activiste autrichien Max Schrems à l’encontre de Facebook, à l’origine de l’arrêté de la CJUE.

La balle est dans le camp américain

L’invalidation du Safe Harbor intervient alors que les Etats-Unis et l’Europe négocient précisément un nouveau régime revisité et plus robuste. Les Etats-Unis pouvaient auparavant se satisfaire du status quo, mais la situation actuelle provoque une incertitude juridique pour les sociétés américaines. C’est donc désormais le Département du commerce américain qui a tout intérêt à ce qu’un nouvel accord soit rapidement trouvé. L’urgence change de camp. 

Fournisseurs différemment affectés

Pour Michel Jaccard, de l’étude spécialisée id est avocats, il importe de différencier la situation de sociétés B2C à la Facebook, de sociétés fournissant des services cloud aux entreprises à la Microsoft. Les premières sont les plus touchées par l’invalidation du Safe Harbor car leur modèle d’affaires repose grandement sur l’exploitation de données centralisées. Elles vont devoir s’adapter. Comme le font déjà certaines sociétés, elles peuvent demander à leurs utilisateurs de consentir spécifiquement au transfert de leurs données ou établir des codes de conduite internes (binding corporate rules) stipulant leur politique en matière de protection des données et les garanties offertes. Reste que nul ne sait le sort qui sera réservé à de telles pratiques lors d’un jugement.
Pour Michel Jaccard, la situation est différente dans le cas de fournisseurs cloud B2B comme Microsoft ou Amazon, qui disposent déjà de data centers en Europe et qui peuvent opérer sans transférer des données aux USA. Mais ce n’est pas le cas de tous les fournisseurs. Dans le domaine du marketing ou des RH, certains fournisseurs SaaS ne proposent pas aujourd’hui d’hébergement en Europe. Par ailleurs, rappelle Michel Jaccard, une autre incertitude liée cette fois au droit américain guette les fournisseurs cloud américains disposant de data centers en Europe. Avec le soutien de multiples concurrents, Microsoft se démène en effet actuellement pour ne pas être tenu de transmettre des données au gouvernement américain lorsque celles-ci sont stockées hors des USA. 


Status quo en Suisse

L’invalidation du régime du Safe Harbor par la CJUE n’a pour l’heure aucun impact sur la Suisse. Le pays connaît en effet aussi un régime Safe Harbor calqué sur celui de l’Union Européenne, qui autorise les entreprises y souscrivant à transférer des données aux Etats-Unis. Cet accord reste valide.

Pour Francis Meier, porte-parole du Préposé fédéral à la protection des données et à la transparence (PFPDT), l’arrêté de la CJUE est à saluer parce qu’il va faciliter l’amélioration de l’accord existant. «La Suisse va observer attentivement les négociations entre l’UE et les Etats-Unis en vue d’un Safe Harbor bis et, le cas échéant, redéfinir son propre régime sur cette nouvelle base», explique-t-il. Pour le moment, le régime en vigueur en Suisse reste inchangé et tant les fournisseurs de services en ligne que les entreprises utilisatrices peuvent continuer à transférer des données de Suisse vers les Etats-Unis pour autant qu’elles fassent parties et soient enregistrées dans le cadre de l’accord spécifique du Safe Harbor entre la Suisse et les USA. Le PFPDT leur conseille toutefois de convenir des garanties supplémentaires avec le destinataire américain.

Webcode
4649

Kommentare

« Plus