La fin du Safe Harbor : le politique au détriment de l’économie ?

Derrière le conflit qui oppose l’Union européenne et les Etats-Unis, c’est une question plus générale qui est posée : celle du cadre dans lequel les données personnelles peuvent être stockées et exploitées tout en assurant le respect de la vie privée des consommateurs.

Le 6 octobre dernier, la Cour de Justice de l’Union Européenne invalidait l’accord transatlantique de protection des données, plus connu sous le nom de Safe Harbor. En vigueur depuis 2000, cet accord permettait de faciliter le transfert des données européennes vers des serveurs hébergés en Amérique du Nord, selon un principe d’auto-certification qui reconnaissait l’application des standards européens en matière de protection des données privées.

Après quelques jours de flottement, le G29 a annoncé accorder une période de trois mois aux institutions européennes pour leur permettre de trouver une réponse juridique et technologique à cette situation. A défaut, chacune des autorités nationales se réservera le droit de sanctionner les entreprises. L’Information Commissioner’s Office (ICO), l’organisme en charge d’assurer la protection des données personnelles au Royaume Uni, a déjà indiqué pour sa part que les entreprises agissant dans le cadre du Safe Harbor devront revoir leurs procédures pour rentrer dans la légalité. Celui du Land du Schleswig-Holstein a quant à lui déclaré illégal tout transfert de données vers les Etats-Unis, menaçant les contrevenants d’amendes pouvant aller jusqu’à 300 000 euros.

Le Safe Harbor n’était certes par la seule possibilité mise à la disposition des entreprises souhaitant transférer pour une raison ou une autre des données européennes sur le territoire américain. Il existe en effet en parallèle des « règles d’entreprise contraignantes » ainsi que les « Clauses Contractuelles Types » de l’Union Européenne sur lesquelles les entreprises peuvent se reposer. Ces dispositifs permettent d’assurer de manière plus approfondie que les particuliers européens, dont les données sont transférées outre-Atlantique, bénéficient du même niveau de protection qu’en Europe. Plus avancés, ils sont également moins flexibles et plus contraignants, que ce soit au niveau commercial ou opérationnel.

Derrière ce conflit qui oppose désormais l’Union européenne et les Etats-Unis, c’est la question plus générale qui est posée : celle du cadre dans lequel les données personnelles peuvent être stockées et exploitées tout en assurant le respect de la vie privée des consommateurs. En créant une forte insécurité, l'invalidation de Safe Harbor a en effet modifié la donne en remettant en cause de nombreux services américains - ayant rejoint Safe Harbor pour s’implanter outre-Atlantique - utilisés quotidiennement par des entreprises européennes, à commencer par les start-up et les prestataires de services proposant l’hébergement de données clients. Cette décision a rappelé à tout le monde, et notamment au monde de l’entreprise, que la protection des données privées en Europe n'est pas qu'une question de principe. Nous constatons que les clients et prospects sont très sensibilisés à ces problématiques et s'emparent du sujet, au bénéfice du respect du consommateur, ce dont nous ne pouvons que nous féliciter.

Reste à savoir néanmoins si cette nouvelle insécurité sera positive pour les acteurs des SaaS sur le long terme. Rien n'est moins sûr. Bien sûr, le premier réflexe est de se dire que certains acteurs Européens vont bénéficier de facto de cet état de fait en s’appuyant sur un avantage concurrentiel certain face aux concurrents américains : celui d’opérer sur le territoire européen. Cependant, cet avantage pourrait s’avérer n’être que provisoire. En effet, on peut légitimement se poser la question de ce qu'il adviendra sur le long terme, pour les prestataires de services comme pour les clients. Le Cloud est par définition même une activité internationale et la plupart des acteurs technologiques sont globaux. Il est donc à craindre que cette "scission" entre deux marchés, entre deux approches théoriques différentes, ralentisse l'accès à l'innovation et augmente les coûts opérationnels. A ceci s’ajoute les risques non négligeables de mesures de rétorsion que pourraient exercer les Américains face à ce qu'ils pourraient considérer comme un protectionnisme masqué. Les deux puissances ont depuis annoncés leur intention d’entrer en négociation pour étudier un nouvel accord Safe Harbor. Mais, en attendant, trois mois restent un délai d’autant plus court que les nouvelles technologies ont redéfini un espace temps bien différent de celui de la diplomatie.