[Données personnelles] Le Safe Harbor bientôt remis en cause par la CJUE ?

Sur le web

Par Elodie le

Pour l’avocat général de la Cour de justice de l’Union européenne (CJUE), le Safe Harbor n’a plus lieu d’être depuis les révélations d’Edward Snowden établissant que la NSA et les autres agences de renseignement siphonnent les données personnelles des internautes européens collectées par les géants du web.

protection_données_safe_harbor_CJUE

Pour rappel, le Safe Harbor, ou “Port de sécurité”, est un pacte de protection des données personnelles négocié entre les États-Unis et la Commission européenne en 2001. C’est ce même pacte qui permet à Google, Facebook, Twitter et consorts (5 000 entreprises au total) de récupérer les données personnelles des citoyens européens collectées par leurs services, de les exploiter et les monétiser, notamment via les publicités ciblées.

Néanmoins, depuis les révélations du lanceur d’alerte Edward Snowden sur les pratiques de surveillance de masse de la NSA, notamment via le programme PRISM, qui offre un sésame aux agences de renseignement vers l’ensemble des données utilisateurs stockées par les grandes firmes américaines, l’efficacité même du Safe Harbor a été remise en cause, tout comme la protection supposée des données personnelles des citoyens européens.

En effet, comment assurer que ce pacte a une quelconque efficacité quand l’administration américaine foule du pied les principes qu’il prétend défendre ?
C’est ce qui a poussé Max Schrems, Autrichien, à porter plainte contre la CNIL irlandaise, pays où est situé le siège de Facebook et d’autres firmes high-tech américaines en Europe. Il a intenté un recours collectif (class action) contre Facebook, baptisant son projet Europe VS Facebook, ralliant à sa cause 25 000 membres du réseau social dispersés aux quatre coins du monde. 55 000 se disent prêts à le suivre

safeharbor_CJUE_USA

Le jeune homme proteste contre le transfert des données personnelles des citoyens européens de Facebook Ireland à Facebook USA, où elles pourraient être compromises par les agences de renseignement américaines. De guerre lasse, son recours collectif a été rejeté par le tribunal civil autrichien tant sur la forme que sur le fond. Néanmoins, saisie par la Haute cour de justice d’Irlande, la Cour de justice de l’Union européenne est amenée à se positionner sur la question.

L’avocat général de la CJUE, Yves Bot, a présenté ses conclusions après des mois d’auditions, dont celle de mars dernier que nous vous relations.

Elles sont sans ambages :

«… Il s’ensuit nécessairement que, a fortiori, des pays tiers ne sauraient en aucun cas être réputés assurer un niveau de protection adéquat aux données à caractère personnel des citoyens de l’Union lorsque leur réglementation autorise effectivement la surveillance et l’interception massives et non ciblées de ce type de données. »

Ces faits s’inscrivent en totale contradiction avec la réglementation prévue par le Safe Harbor, découlant de la décision 2000/520/CE de la Commission en date du 26 juillet 2000, qui permet « les flux de données entre l’Union et les États-Unis tout en garantissant un niveau élevé de protection à ces données ». Cela « suppose qu’aucune circonstance intervenue depuis ne soit de nature à remettre en cause l’évaluation initiale effectuée par la Commission », précise Yves Bot. Or, ce haut niveau de « protection dont doivent bénéficier » les citoyens européens est remis en cause par les révélations d’Edward Snowden.

nsa_safe_harbor_cjue

Dès lors, pour l’avocat général, la CJUE ou toute autorité compétente « a le pouvoir de suspendre le transfert de données en cause », autrement dit le Safe Harbor.

Il assène : « Nous sommes, dès lors, d’avis que la décision 2000/520 doit être déclarée invalide dans la mesure où l’existence d’une dérogation qui permet d’une manière aussi générale et imprécise d’écarter les principes du régime de la sphère de sécurité empêche par elle-même de considérer que ce régime assure un niveau de protection adéquat aux données à caractère personnel qui sont transférées aux États-Unis depuis l’Union européenne. »

Des conclusions dont se félicite Max Schrems : « C’est formidable de voir que l’avocat général a utilisé cette affaire pour rendre un avis général sur les transferts de données vers des pays tiers et la surveillance de masse ». Ajoutant, à l’adresse des pays membres, mais également de la Silicon Valley : « Si le système du Safe Harbor disparaît, il est très probable que les autorités de protection dans les 28 États membres de l’UE n’autoriseront pas les transferts de données des entreprises US soumises à des lois de surveillance de masse ».

La CJUE osera-t-elle suivre les recommandations de son avocat général alors même que la Commission européenne vient de sceller son entente retrouvée avec les États-Unis concernant la protection des données avec l’adoption du Judicial Redress Act ?

protection_données_safe_harbor_états-unis-ue-cjue

Le Judicial Redress Act, est l’acte final de l’accord-cadre (Umbrella Agreement) signé par Washington avec le vieux continent, il vise à octroyer à tous les citoyens européens la possibilité de porter plainte devant un tribunal américain en cas d’usage abusif de leurs données personnelles ou si celles-ci « sont par la suite rendues publiques ». Il actait surtout une relation de réciprocité entre les citoyens US et européens jusqu’ici inexistante, les premiers bénéficiant de davantage de protections.

La commissaire à la justice, Vera Jourova, se disait alors « convaincue que nous serons en mesure de finaliser rapidement notre travail sur le renforcement du Safe Harbor pour l’échange de données à des fins commerciales ». Quand Google se félicitait de cet « élan positif ».

La CJUE a toutes les cartes en main pour freiner cet « élan » et couper le robinet des données personnelles des internautes européens qui coulent à flot en direction du pays de l’oncle Sam. Voire, forcer ces entreprises à héberger les données personnelles des citoyens européens en Europe, comme l’a exigé la Russie en mai dernier sous peine de blocage (mais pour d’autres raisons notamment).

Cela pourrait également remette en cause tout le business model des géants du web qui tirent une grande partie de leur revenue (la majorité pour certains d’entre eux) de la revente des données personnelles de leurs clients.

Néanmoins, même si le Safe Harbor est invalidé, des dérogations existent, notamment celle prévue par l’article 26 de la directive 95/46/CE du 24 octobre 1995 (Directive sur la protection des données personnelles), relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Ainsi, il suffirait à Facebook et consorts d’offrir « des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondant ». Les géants du web ont toujours nié collaborer avec la NSA, ce qui n’a jamais empêché cette dernière de collecter ce qu’elle souhaitait.

La course au chiffrement des entreprises high-tech, Apple, Google ou Whats app pour ne citer qu’elles(racheté par Facebook 22 milliards en 2014), qui se positionnent contre les autorités américaines, pourrait donner le change en cas de litige…

Affaire à suivre (de près).