La Cour de justice européenne a annulé l'accord Safe Harbor en octobre dernier, estimant que les données des Européens n'étaient pas suffisamment protégées lorsqu'elles étaient transférées aux États-Unis. Pour rappel Safe Harbor est un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001. Les entreprises établies aux États-Unis adhèrent à ces principes auprès du Département du Commerce américain. Cette adhésion les autorise à recevoir des données en provenance de l’Union européenne.
Peu de temps après cette décision, les CNIL européennes ont demandé à ce que la Commission européenne et le Département du Commerce américain parviennent à un nouvel accord avant la date du 1er février 2016.
Cependant, les cadres dirigeants des entreprises ont prévenu que dans le cas où un accord ne serait pas trouvé, cela pourrait perturber un échange de l'ordre du milliard de dollars entre les deux plus grandes économies du monde. Il faut dire que nombreuses sont les multinationales qui font transiter les données de leurs clients et de leurs employés entre différentes régions.
Mais le plus gros impact pourrait être ressenti par les entreprises technologiques américaines comme Google et Facebook dont le modèle d'affaires est tributaire des données des utilisateurs pour leur activité de vente de publicités.
Néanmoins, Isabelle Falque-Pierrotin, Présidente de la CNIL depuis septembre 2011 et Présidente du G29, groupe des CNIL européennes, depuis 2014 a avancé que « les entreprises américaines n'ont pas le droit immédiat de collecter des données relatives à nos citoyens. S'ils sont sur notre territoire, alors ils doivent faire avec les conséquences ». Selon le quotidien américain New York Times, elle devrait jouer un rôle clé, que les négociations aboutissent ou non : si les négociations aboutissent, aidée par d'autres gendarmes de la vie privée, elle devrait aider à définir si les termes de l'entente sont en accord avec les normes régionales . Si les négociations n'aboutissent pas, elle pourrait aider à imposer d'autres restrictions sur la façon dont sont acheminées les données outre-Atlantique lors du conseil des régulateurs qui aura lieu le 2 février.
D'ailleurs, au sujet de l'une des grandes enseignes technologiques américaines, le quotidien avance que deux sources, ayant une connaissance directe sur le sujet relatif à Google et son interprétation du « Droit à l'oubli », lui ont confirmé que la CNIL pourrait prononcer dans les semaines qui viennent une nouvelle condamnation pour le numéro un de la recherche, accusé cette fois-ci de ne pas respecter les prescriptions de l’autorité administrative dans son implémentation du droit à l’oubli.
Il faut rappeler que lorsqu’une demande de suppression est acceptée, Google a jusque-là procédé au déréférencement des liens obtenus par le nom de domaine lié au pays du demandeur et ceux de l’Union européenne. L’inconvénient de cette procédure est qu’une information inaccessible avec le nom de domaine google.fr par exemple, s’affichera normalement avec un autre nom de domaine tel google.com ou google.za.
La CNIL, estimant que cette manière de procéder ne permet pas d’atteindre l’objectif visé par la décision de la Cour européenne, a envoyé à Google une mise en demeure afin de procéder au déréférencement des demandes favorablement accueillies sur toutes les extensions du moteur de recherche dans un délai de quinze jours. Google a déposé fin juillet dernier un recours gracieux, estimant que la décision de la Cour européenne n’est applicable que sur l’ensemble des pays de l’Union dans la mesure où elle n’a pas force de loi ailleurs. La présidente du CNIL a annoncé son rejet en septembre dernier, ce qui obligeait Google à se conformer à la mise en demeure, faute de quoi la Présidente de la CNIL se verrait habilitée à désigner un rapporteur qui pourrait saisir la formation restreinte de la CNIL afin qu’elle se prononce sur ce dossier.
Une condamnation en l'état actuel qui est symbolique dans la mesure où la peine maximale est de 150 000 euros. Toutefois, les députés ont adopté un amendement au projet de loi numérique qui donne à la CNIL le pouvoir d'infliger des sanctions beaucoup plus lourdes lorsque des entreprises violent la loi sur la protection des données personnelles : une amende équivalente à 4 % de leur chiffre d'affaires annuel mondial ou 2 % dans le cas de certaines infractions jugées moins graves. La formation restreinte de la Commission nationale de l’informatique et des libertés devra notamment prendre « en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la Commission afin de remédier au manquement et atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la Commission ».
Source : New York Times, amendement assemblée nationale (au format PDF)
Voir aussi :
Droit à l'oubli : la CNIL rejette le recours gracieux formé par Google et reste campée sur ses positions
Google refuse de se plier aux exigences de la CNIL qui souhaite que le déréférencement s'applique à l'ensemble des domaines de la firme
La CNIL pourrait bientôt durcir le ton avec les multinationales
Au sujet de la protection des données des Européens
La CNIL pourrait bientôt durcir le ton avec les multinationales
Au sujet de la protection des données des Européens
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !