« La liberté, ce bien qui fait jouir des autres biens », écrivait Montesquieu. Et Tocqueville : « Qui cherche dans la liberté autre chose qu’elle même est fait pour servir ». Qui s’intéresse aujourd’hui à la liberté ? A celle qui ne se confond pas avec le libéralisme économique, dont on mesure combien il peut être source de prospérité mais aussi d’inégalités et de contraintes sociales ? A celle qui fonde le respect de la vie privée et la participation authentique à la vie publique ? La liberté devrait être au cœur de la démocratie et de l’Etat de droit. En même temps, elle ne peut être maintenue et garantie que par la vigilance et l’action des individus. Ils ne sauraient en être simples bénéficiaires ou rentiers, ils doivent non seulement l’exercer mais encore surveiller attentivement ses conditions d’exercice. Tâche d’autant plus nécessaire dans une période où les atteintes qui lui sont portées sont aussi insidieuses que multiples.


jeudi 8 octobre 2015

Le "Safe Harbor" invalidé par la Cour de justice de l'Union européenne

La Cour de justice de l'Union européenne (CJUE), dans une décision du 6 octobre 2015, remet radicalement en cause l'accord autorisant les transferts massifs de données personnelles de l'Union européenne vers les Etats-Unis. C'est sans doute une très mauvaise nouvelle pour les grandes entreprises actives sur internet comme Facebook qui est directement en cause dans l'arrêt. C'est aussi une mauvaise nouvelle pour les agences de renseignement américaines qui ont parfaitement le droit d'accéder aux données. En revanche, c'est une excellente nouvelle pour la protection des données, car la décision montre que la CJUE demeure attachée à l'exigence d'un standard de protection européen élevé dans ce domaine.

Une question préjudicielle


Le requérant, Maximillian Schrems est un militant autrichien de la protection des données. Dirigeant essentiellement ses attaques contre Facebook, il utilise largement la voie judiciaire. Il a  déposé une série de plaintes devant l'autorité irlandaise de protection des données, puisque le siège européen de l'entreprise de Mark Zuckerberg est précisément situé à Dublin. Invoquant les révélations faites par Edward Snowden, il demande la cessation des transferts de données personnelles de Facebook Irlande à Facebook Etats Unis, dès lors que l'on sait désormais que ces données conservées sur des serveurs américains sont accessibles aux services de renseignements des Etats Unis, la NSA en particulier.

Le recours s'appuie sur la directive du Parlement et du Conseil du 24 octobre 1995, dont l'article 25 précise que "les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel (...) ne peut avoir lieu que si (..) le pays tiers acquiert un niveau de protection adéquat". Le caractère non "adéquat" de la garantie offerte par un Etat tiers peut être constaté par chaque Etat membre ou par la Commission qui va alors demander à l'ensemble des Etats membres de prendre les mesures nécessaires en vue d'empêcher tout transfert vers ce pays. Pour le requérant, les révélations de Snowden montrent que le niveau de protection des données personnelles aux Etats-Unis est bien loin d'être "adéquat".

Mais si la Commission peut déclarer qu'un Etat n'offre pas une protection "adéquate", elle peut aussi déclarer le contraire, et c'est précisément ce qui avait été fait en l'espèce. A la suite d'un accord dit "Safe Harbor" passé en l'an 2000 entre le Département du commerce des Etats-Unis et la Commission, celle-ci a pris une décision, le 26 juillet 2000, déclarant que le niveau de protection des données des Etats-Unis est d'un niveau équivalent à celui qui existe au sein de l'Union européenne.

L'autorité indépendante chargée en Irlande de la protection des données personnelles se trouve ainsi confrontée à une appréciation délicate. Confrontée à un requérant qui soutient que le droit et les pratiques des Etats-Unis n'offrent pas de protection adéquate de la vie privée de la vie privée, elle peut soit mener sa propre enquête, soit s'estimer liée par la décision de la Commission qui affirme que ce niveau de protection est effectivement satisfaisant. C'est exactement l'objet de la question préjudicielle posée à la CJUE.

video
 La société anonyme. Eddy Mitchell. Reprise par "Les Costars"2015

Le "Safe Harbor" 


La CJUE se montre très sévère à l'égard de la décision de l'an 2000 adoptée par la Commission. Elle affirme que celle-ci aurait dû vérifier que les Etats-Unis assuraient effectivement, à la fois dans les textes de droit interne et dans leurs engagements internationaux, "un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ». Or, elle n'en a rien fait, et l'accord passé avec les Etats-Unis montre que ce pays est bien loin d'offrir un niveau de protection équivalent aux exigences européennes.

La lecture de la décision de l'an 2000 est, sur ce point, particulièrement éclairante. Le caractère "adéquat" de la protection américaine relève de l'auto-proclamation. Les entreprises américaines déclarent adhérer aux principes du "Safe Harbor", c'est-à-dire offrir un espace de sécurité aux données personnelles provenant de pays de l'Union européenne. Quant au contrôle, il se fait par certification. Mais que l'on ne s'y trompe pas. Il ne s'agit pas d'un système de certification par un organisme indépendant, mais d'un système d'"auto-certification" par laquelle l'entreprise déclare respecter les principes généraux de protection des données, et se contrôle elle-même. On imagine aisément l'efficacité du système.

Quant à l'accès des autorités publiques américaines à ces données provenant d'Europe, il est évidemment acquis. Comment peut-on songer un seul instant que Google ou Facebook pourraient se soustraire à une injonction provenant des services de renseignement américains, injonction prise sur le fondement d'une législation d'ordre public, en invoquant une clause de Safe Harbor imposée par une décision de la Commission européenne ? Cette dernière a d'ailleurs déjà admis, dans deux communications de 2013, que cet accès des autorités publiques américaines aux données personnelles transférées de l'Union européenne ne s'accompagnait d'aucun contrôle ni d'aucun recours offert aux intéressés.

Constatant que la décision de 2000 n'offre ainsi aucune garantie effective, la CJUE décide tout simplement de l'invalider. Ce pouvoir d'invalidation, qui appartient à la CJUE et à elle seule, conduit à écarter l'application de la décision non seulement dans le droit de l'Etat qui est à l'origine du contentieux mais aussi dans l'ensemble des systèmes juridiques de l'Union européenne.

Les suites de la décision


On pourrait s'interroger longtemps sur les raisons qui avaient poussé la Commission à prendre cette invraisemblable décision, et il serait sans doute intéressant de s'interroger sur le rôle des lobbies dans son adoption. Aujourd'hui cependant, la question posée est plutôt celle des conséquences de cette décision.

La renégociation d'un accord Safe Harbor est envisagée, et même péniblement commencée. Mais comment pourrait-on  considérer que les Etats-Unis offrent un niveau de protection équivalent à celui existant au sein de l'Union européenne, alors que le droit américain n'a pas évolué depuis l'an 2000 ? Rappelons en effet qu'il ignore les législations informatique et libertés, et que la protection des données personnelles est plus ou moins abandonnée aux entreprises du secteur qui l'intègrent, fort modestement, dans des documents contractuels. En cas de contentieux, le requérant européen est prié de s'adresser au tribunal compétent, à Palo Alto ou à New York.

Pour le moment, la décision de la CJUE interdit désormais aux entreprises américaines de s'abriter derrière leur adhésion aux principes du Safe Harbor pour se soustraire aux obligations issues du droit européen. Encore faut-il, bien entendu, que les CNIL européennes, et notamment le G29 qui les regroupe, dispose de moyens de pression importants et notamment d'un pouvoir de sanction suffisamment dissuasif. Peut-être pourrait-on, sur ce point, s'inspirer du droit américain et regarder le montant des sanctions infligées à BNP, et bientôt à Volkswagen ?


Aucun commentaire:

Enregistrer un commentaire