La CJUE condamne le Safe Harbor

Christine Tréguier  • 8 octobre 2015
Partager :

La Cour de justice de l’Union européenne (CJUE) vient de taper un grand coup sur les doigts de la Commission européenne en invalidant l’accord Safe Harbor, également connu comme l’accord sur la « sphère de sécurité ». Cette décision, adoptée en 2000 par la Commission, permet aux entreprises américaines, et en particulier aux géants du net, de transférer les données personnelles de leurs utilisateurs européens vers des serveurs situés aux Etats Unis. Il leur suffit pour cela de souscrire au Safe Harbor et de certifier qu’ils se conforment à un certain nombre de « principes de protection adéquats ». L’engagement est purement déclaratif et les signataires ne sont soumis à aucun contrôle. Ce petit arrangement a permis durant quinze ans de satisfaire aux besoins des entreprises sans enfreindre explicitement la directive de 1995 sur la protection des données personnelles qui exige un niveau de protection adéquat en cas de transfert vers des pays tiers.

Pour la CJUE «  la Commission était tenue de constater que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte. La Cour relève que la Commission n’a pas opéré un tel constat, mais qu’elle s’est bornée à examiner le régime de la sphère de sécurité.  »

Quel que soit le niveau de protection de cet accord, relève encore la Cour, les autorités
publiques des États-Unis n’y sont pas soumises. Pire, «  les exigences relatives à la
sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences.
 »

C’est cette préséance des intérêts supérieurs de l’état sur toute notion de vie privée qui a poussé Max Schrems à intenter la procédure sur laquelle la CJUE vient de statuer. Ce jeune avocat autrichien s’était fait connaître en 2010 par son action contre Facebook. Il avait alors réclamé au réseau social une copie de l’intégralité de ses données personnelles. Celui-ci lui avait adressé un CD Rom contenant plus de 1200 pages dans lesquelles figuraient quantité de données qu’il avait effacées. Suite à la révélation en 2013 par Edward Snowden de l’existence du programme Prism grâce auquel la NSA (National Security Agency) accède aux données détenues par certains grands acteurs du net comme Google, Apple, Facebook, YouTube, AOL ou Yahoo!, Schrems avait porté plainte contre Facebook auprès de l’autorité de protection de la vie privée irlandaise (son siège européen est situé en Irlande). Son argument principal est que les données personnelles transférées sur les serveurs américains de la société ne bénéficient pas d’une protection suffisante contre la surveillance des autorités publiques. La plainte avait été rejetée par l’autorité irlandaise qui s’était retranchée derrière le Safe Harbor et son « niveau de protection adéquat ». Schrems avait alors saisi la Haute Cour de justice laquelle s’était tournée vers la CJUE afin de savoir si l’accord excluait qu’une autorité nationale de contrôle enquête auprès de l’entreprise américaine et suspende éventuellement le transfert de données contesté.

L’avocat peut aujourd’hui se féliciter de son action. La CJUE a non seulement constaté que la supposée protection de la vie privée garantie par le Safe Harbor n’est pas équivalente à celle en vigueur en Europe, mais également que les justiciables ne disposent d’aucune voie de recours pour accéder ou modifier leurs données et que, de fait, l’accord prive les autorités de contrôle de tout pouvoir. Autant de raisons valables pour invalider la décision de la Commission qui lui avait donné naissance et ordonner à l’autorité irlandaise de traiter au plus vite la plainte de Max Schrems.

Le jour même, le Groupe 29 (Groupe des autorités de protection des données européennes) a publié un communiqué soulignant l’importance de ce jugement dans un contexte où la surveillance de masse existe et où « de sérieuses questions concernant la continuité du niveau de protection des données se posent lorsque celles-ci sont transférées aux Etats Unis ». Il convoque dans la foulée une première réunion d’experts afin d’examiner les conséquences de cet arrêt pour tous les acteurs impliqués dans les négociations du futur règlement européen sur la protection des données et dans les discussions en cours pour la renégotiation du Safe Harbor demandée par le Parlement depuis avril 2014.

Il est clair que les milliers d’entreprises qui ont souscrit au Safe Harbor ne vont pas cesser pour autant de transférer des données et que des biais juridiques seront trouvés pour qu’elles puissent poursuivre leurs activités. Mais en invalidant cet accord la CJUE pointe du doigt la politique américaine en matière de surveillance et attise encore une fois la méfiance vis à vis des principaux acteurs américains de la données que sont les réseaux sociaux, les moteurs de recherche ou encore les prestataires de cloud.

{{Sur le Web}} [Le communiqué de la CJUE->http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf] [Le communiqué de la CNIL->http://www.cnil.fr/linstitution/actualite/article/article/invalidation-du-safe-harbor-par-la-cour-de-justice-de-lunion-europeenne-une-decision-cl/]
Publié dans
Les blogs et Les blogs invités
Temps de lecture : 5 minutes
Soutenez Politis, faites un don.

Chaque jour, Politis donne une voix à celles et ceux qui ne l’ont pas, pour favoriser des prises de conscience politiques et le débat d’idées, par ses enquêtes, reportages et analyses. Parce que chez Politis, on pense que l’émancipation de chacun·e et la vitalité de notre démocratie dépendent (aussi) d’une information libre et indépendante.

Faire Un Don