Pour rappel, le Safe Harbor, ou “Port de sécurité”, est un pacte de protection des données personnelles négocié entre les États-Unis et la Commission européenne en 2001. C’est ce même pacte qui permet à Google, Facebook, Twitter et consorts (5 000 entreprises au total) de récupérer les données personnelles des citoyens européens collectées par leurs services, de les exploiter et les monétiser, notamment via les publicités ciblées.
Néanmoins, depuis les révélations du lanceur d’alerte Edward Snowden sur les pratiques de surveillance de masse de la NSA, notamment via le programme PRISM, qui offre un sésame aux agences de renseignement vers l’ensemble des données utilisateurs stockées par les grandes firmes américaines, l’efficacité même du Safe Harbor a été remise en cause, tout comme la protection supposée des données personnelles des citoyens européens.
En effet, comment assurer que ce pacte a une quelconque efficacité quand l’administration américaine foule du pied les principes qu’il prétend défendre ?
C’est ce qui a poussé Max Schrems, Autrichien, à porter plainte contre la CNIL irlandaise, pays où est situé le siège de Facebook et d’autres firmes high-tech américaines en Europe. Il a intenté un recours collectif (class action) contre Facebook, baptisant son projet Europe VS Facebook, ralliant à sa cause 25 000 membres du réseau social dispersés aux quatre coins du monde. 55 000 se disent prêts à le suivre
Le jeune homme proteste contre le transfert des données personnelles des citoyens européens de Facebook Ireland à Facebook USA, où elles pourraient être compromises par les agences de renseignement américaines. De guerre lasse, son recours collectif a été rejeté par le tribunal civil autrichien tant sur la forme que sur le fond. Néanmoins, saisie par la Haute cour de justice d’Irlande, la Cour de justice de l’Union européenne est amenée à se positionner sur la question.
L’avocat général de la CJUE, Yves Bot, a présenté ses conclusions après des mois d’auditions, dont celle de mars dernier que nous vous relations.
Elles sont sans ambages :
«… Il s’ensuit nécessairement que, a fortiori, des pays tiers ne sauraient en aucun cas être réputés assurer un niveau de protection adéquat aux données à caractère personnel des citoyens de l’Union lorsque leur réglementation autorise effectivement la surveillance et l’interception massives et non ciblées de ce type de données. »
Ces faits s’inscrivent en totale contradiction avec la réglementation prévue par le Safe Harbor, découlant de la décision 2000/520/CE de la Commission en date du 26 juillet 2000, qui permet « les flux de données entre l’Union et les États-Unis tout en garantissant un niveau élevé de protection à ces données ». Cela « suppose qu’aucune circonstance intervenue depuis ne soit de nature à remettre en cause l’évaluation initiale effectuée par la Commission », précise Yves Bot. Or, ce haut niveau de « protection dont doivent bénéficier » les citoyens européens est remis en cause par les révélations d’Edward Snowden.
Dès lors, pour l’avocat général, la CJUE ou toute autorité compétente « a le pouvoir de suspendre le transfert de données en cause », autrement dit le Safe Harbor.
Il assène : « Nous sommes, dès lors, d’avis que la décision 2000/520 doit être déclarée invalide dans la mesure où l’existence d’une dérogation qui permet d’une manière aussi générale et imprécise d’écarter les principes du régime de la sphère de sécurité empêche par elle-même de considérer que ce régime assure un niveau de protection adéquat aux données à caractère personnel qui sont transférées aux États-Unis depuis l’Union européenne. »
Des conclusions dont se félicite Max Schrems : « C’est formidable de voir que l’avocat général a utilisé cette affaire pour rendre un avis général sur les transferts de données vers des pays tiers et la surveillance de masse ». Ajoutant, à l’adresse des pays membres, mais également de la Silicon Valley : « Si le système du Safe Harbor disparaît, il est très probable que les autorités de protection dans les 28 États membres de l’UE n’autoriseront pas les transferts de données des entreprises US soumises à des lois de surveillance de masse ».
La CJUE osera-t-elle suivre les recommandations de son avocat général alors même que la Commission européenne vient de sceller son entente retrouvée avec les États-Unis concernant la protection des données avec l’adoption du Judicial Redress Act ?
Le Judicial Redress Act, est l’acte final de l’accord-cadre (Umbrella Agreement) signé par Washington avec le vieux continent, il vise à octroyer à tous les citoyens européens la possibilité de porter plainte devant un tribunal américain en cas d’usage abusif de leurs données personnelles ou si celles-ci « sont par la suite rendues publiques ». Il actait surtout une relation de réciprocité entre les citoyens US et européens jusqu’ici inexistante, les premiers bénéficiant de davantage de protections.
La commissaire à la justice, Vera Jourova, se disait alors « convaincue que nous serons en mesure de finaliser rapidement notre travail sur le renforcement du Safe Harbor pour l’échange de données à des fins commerciales ». Quand Google se félicitait de cet « élan positif ».
La CJUE a toutes les cartes en main pour freiner cet « élan » et couper le robinet des données personnelles des internautes européens qui coulent à flot en direction du pays de l’oncle Sam. Voire, forcer ces entreprises à héberger les données personnelles des citoyens européens en Europe, comme l’a exigé la Russie en mai dernier sous peine de blocage (mais pour d’autres raisons notamment).
Cela pourrait également remette en cause tout le business model des géants du web qui tirent une grande partie de leur revenue (la majorité pour certains d’entre eux) de la revente des données personnelles de leurs clients.
Néanmoins, même si le Safe Harbor est invalidé, des dérogations existent, notamment celle prévue par l’article 26 de la directive 95/46/CE du 24 octobre 1995 (Directive sur la protection des données personnelles), relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Ainsi, il suffirait à Facebook et consorts d’offrir « des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondant ». Les géants du web ont toujours nié collaborer avec la NSA, ce qui n’a jamais empêché cette dernière de collecter ce qu’elle souhaitait.
La course au chiffrement des entreprises high-tech, Apple, Google ou Whats app pour ne citer qu’elles(racheté par Facebook 22 milliards en 2014), qui se positionnent contre les autorités américaines, pourrait donner le change en cas de litige…
Affaire à suivre (de près).
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Nan mais sérieusement, Elodie, tu tien a toi seule le niveau rédactionnel de ce site dans la moyenne. Bravo pour cet article complet, j’ai dus revérifier après lecture que j’étais bien sur le JDG tellement c’était propre. 🙂
Si t’es pas encore embauché, j’irais voir du coté de vrais sites pour ton niveau, genre nextinpact 😉 Tu vas tuer ta carrière en restant chez JDG.
Je ne sais pas quel poids pourrait avoir les renseignements concernant la lutte contre le terrorisme dans ce bras de fer entre l’UE aux les EU. Si jamais l’UE menace trop les intérêts économiques américains, ces derniers pourraient menacer de fermer le robinet. Je sais bien que ce n’est pas si simple mais j’ai bien peur qu’en agitant le spectre du terrorisme, qu’ils puissent nuire à toute tentative d’améliorer le respect de la vie privée ou l’équilibre des échanges entre les deux continents.
En même temps je ne suis pas sur que de dépendre des ricains ad vitam aeternam soit une meilleure solution… non?
Entièrement d’accord avec toi, mais nous ne serons pas invités aux négociations 😉