«Les employés, consommateurs et partenaires vont regarder à deux fois pour savoir si l’entreprise avec laquelle ils traitent accorde autant d’importance à la protection des données personnelles et au respect des normes individuelles fondamentales relatives à la vie privée, qu’à l’innovation et le développement de leurs produits ou services de base», estiment Sheila FitzPatrick et Dierk Schindler, de l’équipe juridique de NetApp qui travaille notamment sur la législation européenne en matière de protection des donnée.
Leur réaction résume bien l’émoi de la sphère digitale. Invalidé, le Safe Harbor pourrait avoir d’importantes conséquences sur le business des entreprises du numérique, s’accordent à dire les spécialistes. En effet, si ce jugement est légitime eu égard au problème de confidentialité des données posé par les pratiques de la NSA, l’agence de renseignement américaine, il n’en représente pas moins une menace pour le business des entreprises du digital.
Safe Harbor s’apparente ni plus ni moins à un accord de libre échange s’appliquant aux données et son invalidation revient à brider voire paralyser ces échanges. Sans cet accord, plus d’échanges possibles. Il lui faudra donc trouver un successeur. Et vite ! Il est urgent de renégocier un Safe Harbor 2, enrichi de dispositifs permettant de protéger les entreprises de l’emprise du Patriot Act et autres lois de renseignements US.
L’accord, rappelle Gartner, concernait quelques 4500 services en ligne américains… et leurs clients. «Des centaines de millions de citoyens européens partagent largement leurs données privées via Facebook et en sont heureux, quel que soit l’endroit où leurs données sont stockées». Et Gartner de douter que «l’opinion publique européenne sera heureuse de toutes les implications de cette décision»…
Certes, il existe des alternatives au Safe Harbor, mais pour la plupart des entreprises, leur mise en place nécessitera du temps et de l’argent. Concrètement, il faudra faire signer des «clauses types», avec les filiales et les prestataires tiers clés. Les entreprises peuvent aussi rédiger leurs propres contrats ou établir des accords avec plusieurs parties. Microsoft a annoncé que les «clauses types» de l’UE lui permettaient de continuer les transferts de données et de protéger juridiquement les clients de ses services cloud, notamment Azure Core Services et Office 365. 70 autres entreprises disent pouvoir s’appuyer sur les «règles d’entreprise contraignantes».
«Les entreprises qui font des affaires entre l’Europe et les Etats-Unis et qui ont appliqué l’accord de bonne foi, bénéficieront sans doute d’une courte période de grâce avant que les autorités chargées de la protection des données ne viennent frapper à leur porte», espère le cabinet d’avocats Baker & McKenzie. Une action immédiate contre ces entreprises serait considérée comme un «abus d’autorité» de la part de ceux qui sont chargés de l’application de la loi…
N’empêche : pour les fournisseurs de services, le délai risque d’être beaucoup plus court. Dans les pays européens où elles stockent des données, ces entreprises devraient recevoir assez rapidement des demandes de la part des autorités chargées de la protection des données, pour expliquer comment elles justifient leurs transferts de données… La décision de la Cour de Justice européenne va obliger les autorités chargées de la protection des données à enquêter sur toutes les plaintes.
On en est là. Sous le coup et dans l’incertitude, résume le cabinet londonien Hogan Lovells. Et de rappeler que «si chaque pays de l’Union européenne dispose de sa propre autorité de protection des données, toutes n’ont pas forcément la même approche de la question…»