Marketeurs : protégez vos données !

16 Octobre 2015
Marc Désenfant

La Cour de Justice de l’Union européenne vient d’invalider le « Safe Harbor » qui encadre le transfert de données personnelles de citoyens de l’Union européenne vers les Etats-Unis. Quel est l’impact de cette décision pour les marketeurs européens ?



Tout d’abord, revenons sur ce que recouvre le Safe Harbor. L’Union européenne s’est pourvue depuis plusieurs années d’un cadre réglementaire visant le traitement de données personnelles. Une directive européenne oblige les Etats membres à insérer dans leur droit des dispositions destinées à garantir que les données personnelles concernant les citoyens européens soient traitées moyennant un ensemble d’informations et de précautions. Les entreprises traitant des données de citoyens de l'Union sont censées appliquer ces règles. Par contre, aux Etats-Unis, il n’existe pas de règles de droit offrant un même niveau de protection des données personnelles. Or, la directive prévoit que, si des données de citoyens européens sont transférées dans un pays tiers qui ne dispose pas d’un niveau de protection suffisant, ces données ne peuvent être transférées que moyennant l’information et l’accord de la personne concernée.

Invalidation de l'accord Safe Harbor

Craignant que ces règles ne freinent les échanges économiques entre l’Europe et les Etats-Unis, la Commission européenne a mis en place l’accord Safe Harbor (« port sûr », en anglais). Les entreprises adhérentes situées aux Etats-Unis s’engagent à respecter, de manière volontaire, les principes inclus dans la directive. Les transferts opérés par ces entreprises sont donc censés pouvoir être opérés même sans accord des personnes concernées. Cette belle mécanique a récemment rencontré un obstacle de taille.

Suite à la plainte d’un étudiant autrichien contre Facebook (qui n’est pas réputé faire grand cas de la protection des données personnelles), un tribunal irlandais a été amené à poser à la Cour de Justice de l’Union européenne, la question de savoir si, malgré l’accord de Safe Harbor, il pouvait statuer sur la validité de certains transferts. A cette occasion, la Cour a rendu un arrêt ce mardi 6 octobre qui fera date : elle a purement et simplement invalidé l’accord Safe Harbor. L’argument principal retenu par la Cour est que les règles de surveillance généralisée mises en place par la NSA ne sont pas compatibles avec les principes de protection portés par la directive européenne. En effet, les entreprises américaines ne peuvent se soustraire aux demandes de transfert de données personnelles formulées par la NSA.

Des conséquences énormes

Les conséquences pour les entreprises traitant des données aux Etats-Unis sont énormes. Elles ne peuvent plus se prévaloir des principes contenus dans le Safe Harbor. Elles doivent donc obtenir une autorisation de chaque citoyen de l'Union dont elles entendent traiter des données aux Etats-Unis. Lorsque l’on sait que près de 4000 entreprises se prévalent de ce dispositif, on imagine l’impact de la décision de la Cour de Justice de l'Union européenne. Qu’en est-il pour les marketeurs européens ? Dans un monde où l’essentiel des outils utilisés par les marketeurs sont aujourd’hui fournis en mode SAAS, la question mérite d’être posée. Ces outils supposent le transfert de données de consommateurs vers des serveurs distants.

Les implantations tant du siège de l’entreprise fournissant les services que de ses serveurs seront donc primordiales pour déterminer si l’invalidation de l’accord de Safe Harbor impacte leur activité. Par exemple, si vous êtes une entreprise européenne dont les actionnaires sont européens, que vos serveurs sont situés en Belgique et que vous ne transférés pas les données en dehors de l’Union européenne, la suspension du dispositif Safe Harbor n’impacte pas vos clients. En revanche, si vous utilisez les services d’un fournisseur SAAS dont le siège où les serveurs se situent en dehors de l’Union européenne, vous êtes exposés à un risque qu’il convient d’évaluer au cas par cas. Il est conseillé, dans cette hypothèse, d’obtenir de chacune des personnes concernées par les traitements de données, l’accord de transférer les données vers un pays tiers à l’Union européenne. On conviendra qu’il ne s’agit pas d’une chose facile, surtout pour ce qui concerne les personnes dont les données ont déjà été transférées en dehors de l’Union.

A propos de l'auteur : Marc Désenfant est directeur général d' ACTITO France.

Marc Désenfant