Isabelle Falque-Pierrotin, la présidente de la CNIL et du groupement européen des autorités de protection des données réagit à l’arrêt de la justice européenne sur le Safe Harbor. STEPHANE DE SAKUTIN / AFP

La présidente de la Commission nationale de l’informatique et des libertés (CNIL) et du « G29 », le groupement européen des autorités de protection des données personnelles, réagit à l’arrêt de la Cour de justice de l’Union européenne qui a invalidé l’accord « Safe Harbor ».

L’occasion également de revenir sur le projet du gouvernement de fusionner la CNIL avec la Commission d’accès aux documents administratifs (CADA), dans le cadre de la loi numérique.

Etes-vous favorable au projet du gouvernement de fusionner la CNIL et la CADA ?

Réfléchir à un rapprochement entre nos deux institutions me paraît parfaitement légitime. Dans les textes, dans les recours que nous examinons, il y a une convergence autour de la gouvernance de la donnée. Pour autant, désosser ces deux institutions, remettre à plat immédiatement leur composition, leurs missions, leurs procédures est un travail considérable qui, aujourd’hui, me paraît déraisonnable. D’autant plus que nous avons le projet de règlement européen sur les données qui va aboutir d’ici la fin de l’année et qui va conduire à une réécriture de la loi CNIL.

Lire aussi Le gouvernement veut fusionner la CNIL et la CADA

Pour vous, insérer cette réforme dans la loi numérique, qui sera examinée en 2016, est une mauvaise idée ?

Cela dépend de ce qu’il y a dedans. Il faut faire les choses au bon moment. Je suggère une solution en deux temps : à court-terme, on peut adosser les deux institutions, en mettant en place un mécanisme de participation croisée entre les deux autorités.

La justice européenne a invalidé, mardi, l’accord Safe Harbor sur les données personnelles. Que vont faire les autorités européennes de protection des données ?

Il existe des outils alternatifs au Safe Harbor. Il est légitime de se demander si les arguments de la Cour s’y appliquent. Nous allons analyser les conséquences sur les autres outils légaux de transfert pour mesurer l’impact de la décision de la Cour. Ce que souhaitent les entreprises c’est d’avoir une lisibilité, une cohérence du dispositif européen. Nous voulons donc leur offrir une réponse coordonnée.

Justement, que doivent faire les entreprises qui avaient recours au Safe Harbor ?

Il ne faut pas nous précipiter en recommandant des outils. Ce serait ennuyeux si dans un mois et demi ces outils souffrent des mêmes vices que le Safe Harbor. Il faut nous donner du temps pour établir une réponse robuste. Dès que nous aboutirons à une conclusion solide, on la communiquera.

Cela signifie donc que certaines entreprises transfèrent des données d’Européens de manière illégale ?

Elles prennent un risque. Sachant que le Safe Harbor est invalide, et qu’il n’a pas été procédé à une évaluation de la solidité des autres outils, il y a non pas un vide juridique, mais une question juridique sur la base légale de ces transferts.

Qu’est-ce que la décision implique quant au rôle des autorités de protection des données ?

La décision de la Cour donne effectivement la possibilité aux autorités de protection des données de réexaminer les transferts de données. La Cour a confié un rôle renouvelé aux autorités de protection des données, elle les a remis dans le jeu aux côtés de la Commission.

Cela signifie-t-il que les internautes pourront saisir la CNIL pour empêcher que leurs données partent aux Etats-Unis ?

Il faut être prudent. Les internautes ont certainement des attentes ambivalentes et n’ont pas non plus envie que les services qui leur sont offerts s’interrompent. Notre métier c’est de faire que les données des Européens soient protégées : aujourd’hui, il faut regarder si la protection apportée par les outils alternatifs au Safe Harbor est satisfaisante. La réponse n’est pas seulement dans ces outils : la Cour a pointé le système de surveillance de masse des Etats-Unis.

Est-ce qu’au final ce n’est pas surtout la politique américaine qui est sanctionnée par la CJUE ?

La Cour n’a pas invalidé le Safe Harbor à cause du contenu de ce dernier, mais à cause de la législation américaine. Il y a des éléments du droit américain qui n’ont pas été pris en compte par Commission et qui rendent le Safe Harbor invalide. La faiblesse juridique, aux Etats-Unis, c’est la possibilité de la surveillance de masse, le manque de contrôle par une autorité indépendante, la difficulté de former un recours… C’est ça qui motive l’arrêt de la CJUE. Compte tenu de ce que dit la Cour, la responsabilité est dans les mains des gouvernements, américain et européens.

Vous faites ici référence à la renégociation du Safe Harbor, antérieure à la décision de la Cour. Comment un simple accord peut prendre en compte les remarques de la justice et donner des garanties sur les pratiques de surveillance des Etats-Unis ?

L’arrêt n’invalide pas les renégociations. On peut adjoindre un volet complémentaire qui répondrait aux observations de la Cour. Aujourd’hui, la Commission est en position de demander aux Etats-Unis quelles garanties ils peuvent accorder aux citoyens européens. Il n’est pas illégitime de leur demander ça.