Après les secousses provoquées la semaine dernière par la décision de la Cour de justice de l’Union européenne (CJUE) de suspendre le « Safe Harbor », des représentants de l’industrie du marketing digital, dont l’Interactive Advertising Bureau (IAB), exhortent les autorités européennes et américaines à trouver un nouvel accord qui tienne compte de cette décision mais qui permette le transfert de données personnelles d’Européens vers les États-Unis. En parallèle, des associations de défense de la vie privée saisissent cette occasion pour pointer le peu de garanties offertes par les lois américaines à l’égard de la protection de la vie privée et demandent davantage de règles comme préalable indispensable à tout nouvel accord.
Chaque pays européen devra examiner comment procéder désormais. La CNIL française déclare qu’elle examine avec ses homologues au sein du G29 « les conséquences juridiques et opérationnelle de cet arrêt » (lire ici).
Un peu de mémoire
L’accord dit « Safe Harbor » régissait les transferts de données personnelles entre les pays européens et les Étas-Unis depuis l’année 2000, quand la Commission européenne avait décidé d’autoriser des entreprises américaines à transférer aux Étas-Unis des données de leurs clients européens, malgré le peu de garanties de protection offertes par la législation américaine vue d’Europe. La contrepartie était que les sociétés américaines s’engagent à protéger les données des Européens selon les règles en vigueur en Europe. La suspension de cet accord était attendue, depuis l’affaire des révélations d’Edward Snowden sur l’espionnage de l’Europe par la National Security Agency américaine, appuyée par la collaboration active de nombreuses sociétés privées américaines détenant des données personnelles d’Européens. La décision de la CJUE de suspendre le Safe Harbor a été motivée par une procédure judiciaire intentée par un citoyen autrichien à l’encontre de Facebook.
Les « pour »
Il est estimé que 4 000 entreprises bénéficiaient du Safe Harbor en décembre 2013, selon un rapport du think tank Future of Privacy, qui défend son adoption et son renforcement (lire ici). Au vu des enjeux économiques de l’usage et de l’exploitation des données personnelles en milieu digital, les acteurs de l’industrie de la publicité et du marketing en ligne espèrent que cette décision de la CJUE, plutôt que de servir d’obstacle, pourra stimuler une adoption plus rapide par les autorités d’un second accord du type Safe Harbor. Certains spécialistes de l’industrie estiment que cet accord devrait encadrer davantage les transferts de données, et qu’il il devra les autoriser mais sur des bases certainement plus transparentes pour les citoyens, notamment en proposant plus de mécanismes d’adhésion (ou de refus) au partage de leurs données.
Pour l’IAB, cette suspension met en danger des milliers d’entreprises. « Grâce en partie à l’accord Safe Harbor, les Étas-Unis et l’Union européenne se trouvent parmi les marchés publicitaires les plus dynamiques au monde, ensemble représentant $ 84 milliards de revenus annuels », a déclaré Mike Zaneis, EVP de politiques publiques à l’IAB (lire ici). Il rappelle que grâce à cet écosystème – lui-même alimenté justement par les données personnelles servant, entre autres, à cibler les messages publicitaires – les citoyens en Europe bénéficient des services en ligne gratuits, dont les informations, les loisirs, les emails et les réseaux sociaux…
Les « contre »
Mais pour d’autres, il n’est même pas question d’envisager de Safe Harbor 2 : la seule solution passe par la réforme de la législation aux Étas-Unis afin de protéger les données des Européens et non-Américains sur place (lire notamment ici les déclarations au Monde de Jan-Philip Albrecht, député rapporteur du projet de règlement européen sur la protection des données) et de tous les citoyens en général.
De l’autre côté de l’Atlantique, les militants américains continuent de défendre l’adoption de règles encadrant le respect de la vie privée en ligne dans leur pays, faute de quoi un second Safe Harbor ne servirait à pas grande chose, défendent-ils. « Il est plus que largement temps pour les Étas-Unis d’adopter un paquet complet de règles de protection de données, pour se mettre en conformité avec 100 autres pays dans le monde. Faute de législation, les Étas-Unis ne pourront offrir aucune garantie à l’UE qu’il y aura une protection adéquate des données personnelles stockées ou utilisées par des entreprises américaines », a publié le Trans Atlantic Consumer Dialog (lire ici).
LUL