Safe Harbor : la Cour de justice européenne rebat les cartes de la surveillance américaine

Mickaël Bazoge |

L’onde de choc provoquée par les révélations d’Edward Snowden concernant les écoutes de la NSA n’en finit plus de produire des effets collatéraux. Ce mardi, la Cour de justice européenne (CJUE) a invalidé l’accord dit Safe Harbor, qui autorisait le transfert des données personnelles des citoyens européens vers les États-Unis — une fois sur les serveurs américains, ces informations peuvent ensuite être exploitées en toute liberté ou presque par les grandes oreilles des agences américaines de renseignement.

Crédit CJUE.

Safe Harbor (« sphère de sécurité ») est un cadre juridique qui permet aux entreprises américaines exerçant une activité en Europe (elles sont environ 4 000) de récolter les données personnelles de leurs utilisateurs. Cette directive entrée en vigueur en 2000 vise à concilier les approches sur le respect de la vie privée qui sont souvent très différentes entre les États-Unis et l’Europe.

L’instauration du droit à l’oubli, au printemps 2014, est la preuve que d’un côté de l’Atlantique à l’autre, la problématique des données personnelles est gérée très différemment. C’est d’ailleurs la CJUE qui a exigé de Google la mise en place d’un mécanisme de suppression des liens.

Dans le dossier Safe Harbor, la Cour de justice européenne a été interpellée par un citoyen autrichien qui avait déposé plainte contre Facebook en Irlande, siège du réseau social en Europe. En substance, Max Schrems estimait que la récolte des données par Facebook et leur stockage aux États-Unis constituait une violation de ses droits. L’affaire a rebondi jusqu’à la plus haute juridiction européenne.

La CJUE juge que les États-Unis n’assurent pas un « niveau de protection adéquat aux données à caractère personnel » des citoyens de l’UE. La Cour a entendu les arguments de Schrems : à la lumière des révélations d’Edward Snowden en 2013 sur les exactions de la NSA, « le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays ».

La CJUE écrit dans son arrêté que des ingérences sont possibles dans le cadre du régime américain sur la sphère de sécurité : les droits fondamentaux des personnes sont menacés, et c’est encore plus vrai étant donnée l’absence aux États-Unis de règles ou de protection juridique destinées à limiter ces ingérences.

La Cour a pu constater que les États-Unis pouvaient accéder aux données confidentielles récoltées auprès des citoyens européens, et les traiter d’une « manière incompatible (…) au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale ». Avant le rendu de cette décision, les États-Unis avaient tenté de convaincre que le pays ne pratiquait pas de surveillance massive… sans y parvenir, donc.

Si Facebook était l’entreprise américaine visée par cette plainte, ce sont désormais toutes les sociétés US exerçant en Europe qui vont devoir revoir leurs pratiques. Le réseau social estime d’ailleurs qu’il est « impératif » que les autorités des deux continents s’entendent sur un nouveau protocole, car en l’état on voit mal comment Apple, Google, Microsoft et tous les mastodontes du web pourraient stocker leurs données sur le seul sol européen, loin de la juridiction de la NSA.


avatar Kimaero | 

En créant des data-center en Europe, ce qui créerait des emplois ?
Faut pas abuser, déjà qu'ils font l'effort de payer leurs impôts dans des paradis fiscaux européens, manquerait plus qu'ils créent des emplois et respectent la loi.
#Troll

avatar reno732 | 

@Kimaero :
Tout à fait d'accord ! Il crée des datacenter chez nous ! On rélocalise l'emploi !
Je paye pour un service, j'ai des droits, je veux ou plutôt j'exige qu'ils soient respectés, les problèmes techniques ne sont pas mon problème ...

avatar Wolf | 

@reno732 : Tu paie pour un service qui n'est pas obligé d'être localisé en Europe. Tu paie pour pouvoir stocker x ou y sur un volume x ou y dont on te laisse la jouissance sans en stipuler la localisation. Charge à toi de ne pas utiliser/payer pour ce service si tu estime que t'es données ne sont pas où tu le veux.
Maintenant, si par un extrême hasard, un jour, une société Européenne pouvait proposer la même chose, alors on pourrait avoir le choix, mais ca tiens plutôt du phantasmes qu'autres choses...

avatar C1rc3@0rc | 

https://fr.wikipedia.org/wiki/USA_PATRIOT_Act" rel="nofollow">Paaatriot Act!
=> Foreign Intelligence Surveillance Act
=> FISA Amendments Act of 2008, chapitre 7, les activités de surveillance électronique hors USA
=> article 1881a visant le cloud computing ()

Selon Caspar Bowden, un des auteurs du rapport du parlement européen concernant ces textes:
«si le fournisseur de services de Cloud Computing se décidait à informer les autorités européennes sur l’existence d’un dispositif de surveillance, il serait passible d’outrage au tribunal fédéral relatif au renseignement étranger (United States Foreign Intelligence Surveillance Court) et enfreindrait probablement la loi US Espionage Act, qui interdit la publication d’informations classées sur les méthodes de renseignement. De plus, cette loi, tout comme le Patriot Act peuvent s’appliquer -secrètement- à chaque société de la planète – même européenne – à partir du moment où elle a une activité commerciale sur le sol américain»

Toute donnée en disposition d'une entreprise américaine, directement ou indirectement est soumise a la loi US, ou qu'elle soit localisée. Donc un datacenter appartenant a Facebook meme situé en Europe et selon les USA regit pas les lois américaines.

La seule solution a ce probleme c'est que les societes US louent des datacenter administrés par des societes europeennes et que les donnees soient chiffrées au niveau du terminal et que le chiffrement soit laissé au choix de l'utilisateur.
Autant dire que cela flingue la raison d'etre de Facebook.

Sinon, il y a une chose tres interressante c'est que cette decision va faire jurisprudence et va certainement amorcer une longue liste de condamnations pour les USA. C'est que depuis 2001 il y a un lourd passif a solder.

avatar Hideyasu | 

@C1rc3@0rc :
Ça fera du bien à la société pas de Facebook au pire ...

avatar ovea | 

On est encore très loin de considère qu'un domaine comme la “méta-informatique” puisse être uniquement lié à l'intelligence de l'utilisation de l'interface graphique sans qu'il y ai besoin d'en faire un système pour siphonner l'intelligence au seul profit de soit disant services appelés nuages

avatar poulpe63 | 

Entre être espionné par les USA (NSA & co) et par la République Français (lois sur le Renseignement) : il va falloir choisir ?
Bien sûr, tous ces trucs sont là pour protéger nos Etats/collectivités/... au détriments de certaines libertés individuelles (après tout, on est trop crûche pour avoir autant de liberté). L'ex-URSS et ses satellites sont tombés, et on refait la même chose en "mieux" (volontairement, bien-sûr).

Bref, quitte à être espionné, autant que mes données soient à l'étranger qu'en RF.

avatar C1rc3@0rc | 

Heu non pas de choix a faire, la République Française est sous la tutelle de l'OTAN et doit donc appliquer les directives américaines (d'ou la transcription du Patriot act dans le droit francais => lois sur le Renseignement)

avatar YAZombie | 

Et ça ça s'appelle de la démagogie, avec un tout petit chouïa de paranoïa. Croire qu'il est besoin de l'influence - même pour te répondre je préfère éviter le terme ridicule de "tutelle" - des US pour avoir cette loi sur le renseignement, c'est donner bien du crédit à nos propres politiciens.

avatar C1rc3@0rc | 

pourtant si tu lis les statuts de l'OTAN le terme tutelle est bien adéquat. Si tu rajoutes le cadre du Patriot Act le terme tutelle est véritablement le bon, puisque le pouvoir d’ingérence et décisionnel passe au-dessus des pouvoirs souverains et même constitutionnels.

avatar YAZombie | 

Tant que tu ne cites pas des articles précis ce que tu dis n'est que démagogie sans fondement. Jusqu'ici tu n'as donné la preuve que de ça et de strictement rien d'autre. Le fait de ne pas être plus précis quand on t'interpelle à ce sujet ne fait que confirmer cela. Le texte du traité de l'Atlantique Nord n'est pourtant pas si long que tu ne peux pas citer des passages. Démonstration supplémentaire que tu racontes n'importe quoi.
Quant au Patriot Act, comme c'est une loi américaine et pas un traité, se donner "pouvoir d’ingérence et décisionnel passe au-dessus des pouvoirs souverains et même constitutionnels" - des termes qui ne veulent rien dire - c'est comme moi, qui ai décidé de me donner un pouvoir d'ingérence et décisionnel dans les affaires des US: ça nous fait une belle jambe.
Un peu de sérieux!

avatar 406 | 

Je préfère en RF. Y A plus de chance quand on dépose une plainte concernant nos données , qu on puisse les faire plier si elles sont hébergés dans nos contrées, il me semble.

avatar C1rc3@0rc | 

aucune!
Comme expliqué plus haut le fait meme d'informer les autorités d'un pays d'Europe qu'un systeme d’espionnage a ete mis en place au niveau d'un fournisseur d’accès ou d'un fournisseur de cloud, ou d'un terminal equivaut a un acte de haute trahison pour un ressortissant americain et maintenant que Kazeneuve a instauré le Patriot act en France (chose également faite en Angleterre et en Allemagne) il s'agit d'un acte de trahison nationale...

Donc tout discours qui affirme que les données personnelles sont protégées et que l'entreprise n'y a pas accès est un mensonge, sinon les responsables de l'entreprise seraient directement arretés pour haute trahison!

Eh oui, si le patriot act concerne initialement le terrorisme, les textes qu'il reforme et élargie concernent eux l'espionnage économique et industriel.

avatar YAZombie | 

Tu peux donner les articles correspondant à tes assertions? Parce que j'ai furieusement l'impression que tu racontes n'importe quoi… ce qui ne serait vraiment pas malin si tu penses que cette loi (que tu n'as apparemment pas lue) est dangereuse.

avatar C1rc3@0rc | 

Déjà commences a lire les référence que j'ai cité dans ma précédente intervention.

avatar YAZombie | 

Tu as cité une opinion, d'un monsieur certainement bien intentionné mais qui semble un peu à côté de la plaque: "Ainsi, FISAAA permet à la NSA (National Security Agency) de demander aux grands fournisseurs Cloud d’installer des dispositifs permanents pour scanner toutes données qu’elles gèrent en dehors des Etats-Unis. Comme cela est réalisé au sein des centres de données, le chiffrement des données entre l’infrastructure cloud et votre ordinateur est vain et n’offre aucune protection". Il n'a pas tout compris à ce qu'était le cryptage le monsieur oO Si c'est sur ce genre d'erreurs techniques fondamentales qu'il fonde ses analyses, je pense qu'il vaut mieux commencer par écarter ses propos pour avoir une idée claire de la situation…
Bref, ça ne s'appelle pas "des références", ça s'appelle une citation. Et je parlais bien évidemment de tes assertions concernant la loi sur le renseignement!

avatar YAZombie | 

Qu'on soit bien clair: une absence de réponse claire et précise à mes remarques est un aveu. Que ce soit d'ignorance ou de bêtise, c'est de toute façon un aveu de désinformation.

avatar Splinter | 

C'est un véritable coup de tonnerre !

avatar scribe | 

Safe harbor = "sphère de sécurité" ! En voilà une traduction qu'elle est mignonne…

avatar Shralldam | 

Conclusion : faites-vous votre propre Cloud (les NAS font très bien cela).

avatar Ast2001 | 

Je viens juste de recevoir un mail de salesforce...
---
We are reaching out to you as a customer of a Salesforce service.

Today, the European Court of Justice (ECJ) determined that the EU-US Safe Harbor Framework does not provide a valid legal basis for transfers of personal data from Europe to the U.S.

At Salesforce, trust is our #1 value and nothing is more important than the success of our customers and the privacy of our customers’ data.

In light of the ECJ’s decision regarding the EU-US Safe Harbor Framework, Salesforce is immediately making available a data processing addendum that incorporates the European Commission’s standard contractual clauses, commonly referred to as “model clauses.”

The addendum ensures customers may continue to validate transfers of personal data under EU data protection laws. Customers can access the data processing addendum with the model clauses here and should promptly complete, sign and return the addendum to .

We continue to make your success our top priority. If you have any questions, please refer to our FAQ.

avatar ce78 | 

LA CJUE ne rend pas des arrêtés (elle n'est pas garde-chasse), mais des arrêts. :-)

avatar cdp86 | 

Simple, à la chinoise.

Ils installent leurs serveurs ici et suivent nos règles ou ils dégagent, tout simplement.

CONNEXION UTILISATEUR