L’arrêt de la Cour de Justice de l’Union Européenne en date du 6 octobre 2015 fut au cœur de l’actualité de ce mois d’octobre, cette affaire, opposant Maximillian Schrems contre Data Protection Commissioner, Cette décision a fait naître une insécurité juridique dans le sens qu’elle est venue priver de base légales toutes sortes de traitements de données.
L’accord Safe Harbor, une sphère de sécurité illusoire.
L’accord dit Safe harbor est « un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne. ». Ces principes ont été entériné par la décision de la Commission Européenne 2000/520/CE. Cet accord international a pour but de mettre en place une protection des données personnelles équivalente aux exigences de l’UE, afin d’autoriser les flux transfrontaliers de données et d’autoriser les traitements de données personnelles des ressortissants de l’UE sur le territoire américain.
En pratique, les différentes entreprises désirant opérer un traitement de données en dehors du territoire de l’UE devaient se porter signataires de cet accord (il s’agissait d’une simple déclaration de conformité aux termes de l’accord) afin de pouvoir légitimer leurs pratiques. Il s’agissait donc d’un cadre juridique protecteur afin d’harmoniser le régime des données traitées aux États-Unis
Ainsi la, législation européenne par le jeu de la directive 95/46 est plutôt protectrice des données personnelles.
A ce titre, l’article 25 de ladite directive dispose : « […] des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international ; […] la protection des personnes garantie dans la Communauté par la présente directive ne s’oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat ; […] le caractère adéquat du niveau de protection offert par un pays tiers doit s’apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts. »
La commission avalise donc le système américain considérant qu’il offre un niveau de protection adéquat au sens de la directive.
13 ans plus tard l’affaire Snowden, une remise en cause de l’effectivité du Safe Harbor
Il convient à présent de rappeler brièvement les éléments de la dorénavant célèbre affaire Snowden.
Edward Snowden est un informaticien américain a priori sans histoire. il s’engagea le 7 mai 2004 dans les forces spéciales de l’armée américaine mais après une grave blessure pendant l’entraînement, il se voit contraint d’abandonner le terrain.
Il se voit donc réaffecté et rejoint la NSA (National Security Agency), il passe ensuite quelques années auprès de la CIA (Central intelligence Agency ) avant de retomber sous le giron de la NSA et cela par le biais de l’un de ses prestataire privé : Booz Allen Hamilton
A ce moment là, l’informaticien s’étant engagé pour servir son pays ne peut plus faire fi des pratiques de son gouvernement. il devient alors un traître pour sa patrie et prend la fuite en dérobant des données confidentielles dans le but de les rendre publiques.
Ce sera chose faite au courant de l’été 2013, et deux journalistes Glenn Greenwald pour le Guardian et Laura Poitras pour le Washington post vont jouer le rôle de diffuseur de masse de ces informations.
Les informations révélées firent frémir la scène internationale devant l’étendue de la surveillance américaine sur le reste du monde.
Sous couvert de lutte anti-terrorisme et sur le fondement du Patriot Act voté par le Congrès des Etats-Unis et signé par George W. Bush le 26 octobre 2001, est venue apporter la réponse législative aux attentats du 11/09/2001, La NSA va développer et mettre en place des systèmes de surveillance très sophistiqués telle que système PRISM ou encore Xkeyscore, véritables traqueurs de données personnelles automatisés qui avec le concours des grandes entreprises américaines, telles que Facebook ou encore Google, permettent de suivre l’ensemble des internautes dans leur usage d’internet et ceci dans l’impunité la plus totale afin de traquer les individus « à risque ».
Hormis l’histoire rocambolesque et la traque de cet ex-agent gouvernemental, les informations qu’il a divulgué ont pu donner une orientation au juge européen dans l’arrêt du 6 octobre 2015
Maximilan Schrems ou le citoyen irlandais qui a fait trembler les géants du web
Un citoyen conscient et surtout soucieux du sort de ses données personnelles traitées à Palo Alto en Californie siège social de l’entreprise Facebook inc. Il intente un recours estimant que l’ingérence du gouvernement américain constitue une violation de la législation irlandaise et donc européenne. Après avoir épuisé les voies de recours internes, la High Court (Haute Cour de justice, Irlande) a donc recourt à un renvoi préjudiciel devant la CJUE concernant l’interprétation de la directive 95/46 et son adéquation avec un traitement de données personnelles effectué aux Etats-Unis par la société Facebook adhérente au Safe Harbor.
Les juges européens ne vont pas se contenter de donner gain de cause au requérant mais vont aller plus loin, d’abord en se basant sur les révélations de Snowden, ils font état de la possible ingérence de l’État fédéral et donc de la possible collecte et utilisation des données personnelles des citoyens européens, ensuite ils vont jusqu’à invalider la décision de la Commission Européenne rendant donc le traité international caduc.
Le considérant 87 de la dite décision énonce:
« la décision 2000/520 ne comporte aucune constatation quant à l’existence, aux États-Unis, de règles à caractère étatique destinées à limiter les éventuelles ingérences dans les droits fondamentaux des personnes dont les données sont transférées depuis l’Union vers les États-Unis, ingérences que des entités étatiques de ce pays seraient autorisées à pratiquer lorsqu’elles poursuivent des buts légitimes, tels que la sécurité nationale. »
Le motif de sécurité nationale peut donc, selon la Cour européenne, justifier une certaine ingérence d’un État dans les traitements de données mais c’est bien l’absence de cadre précis et de limites effectives qui justifie la censure du Safe Harbor.
La Cour censure donc l’absence de recours face aux collectes opérées, l’opacité des procédés de collecte et l’absence de contre mesure adéquate, afin de prévenir les abus éventuels.
Le Safe Harbor n’est plus. Les entreprises américaines n’ont plus, en tout cas sur le fondement de cette sphère de sécurité le droit d’opérer des traitements de données des citoyens européens sur leur sol.
Outre Atlantique, la réaction fut vive the Guardian titrait même « Aujourd’hui l’atlantique vient de s’agrandir »(traduction libre de l’anglais). Se pose donc la question de savoir dans quelle mesure peut on tolérer l’ingérence de l’État dans notre vie privée afin de lutter contre le fléau de ce siècle : le terrorisme.
Si cette décision concerne d’abord les États-Unis elle trouve cependant une résonance nationale. En effet la loi renseignement du 25 juin 2015. semble aller dans un sens analogue et si une partie du mécanisme a été censurée, les décrets d’applications devraient nous éclairer sur l’importance accordée à la lutte antiterroriste face au respect de notre vie privée.
A la suite de cette décision, les GAFA (Google Amazon Facebook Apple)
viennent de voir leur marge de manœuvre grandement diminuer dans l’exploitation du nouvel or digital : les données personnelles. L’enjeu économique est si grand que des mesures sont d’ores et déjà en cours de négociation certains parlent d’un Safe Harbor 2 tandis d’autres, affirment qu’il faut repenser la législation américaine.
Les conséquences incertaines de la décision de la CJUE du 6 octobre 2015
Il est né de cette invalidation une insécurité juridique les flux de données transfrontaliers de données vers les USA.
Quid de la nature juridique des traitements Sont ils devenus, au lendemain de cette décision, par nature illicites ?
Il convient de relativiser la portée de cette décision, si le recours au Safe Harbor est devenu inopérant, il n’en est pas de même pour les différentes clauses contractuelles insérées par les GAFA. Ainsi, le consentement des utilisateurs permettrait de légitimer les flux transfrontaliers de données.
Des négociations sont engagées dans le but de réformer le Safe Harbor et celles-ci semblent être en bonne voie puisque l’ouverture d’un recours envers les institutions américaines pour les citoyens européens va semble-t-il être mise en place.
Le mot d’ordre étant la transparence, la protection de la sécurité nationale est une visée louable mais ne peut se faire dans la violation pure et simple de la vie privée des utilisateurs de l’internet.
Le G29, réunion des différentes commissions nationales internet et liberté nommée de la sorte en référence à l’article 29 de la directive 95/46, s’est par ailleurs prononcé en ce sens. On ne peut imposer en vertu de nos accords commerciaux ni par le jeu des traités internationaux un changement de la législation aux Etats-Unis, dont la conception de la vie privée et surtout de sa mise en balance avec la nécessaire protection des intérêts nationaux, semble aux antipodes de la conception européenne.
Un Safe Harbor 2 est donc la solution vers laquelle les opinions convergent, mais la réalité des garanties et contrôles que ce dernier offrira n’étant que théorique on ne peut s’en remettre qu’au temps en espérant le cas échéant qu’un autre Edward Snowden nous alerte sur le devenir de nos données personnelles.
En outre cette affaire soulève une réflexion d’ordre sociétal,
En effet, la protection effective ou non des données personnelles qui sont déjà aujourd’hui largement exploitées, dépendra la tombée en désuétude d’un pan entier de la notion de vie privée.
Il s’agissait en l’espèce d’une ingérence justifiée par une certaine « raison d’État » mais qu’en est il des utilisations commerciales de nos données qui se multiplient et se diversifient de jours en jours.
Peut-on renoncer à la protection de sa vie privée par le jeu du consentement ?
Ces questions trouvent écho dans l’actualité, notamment dans le projet de loi « Pour une République Numérique » ou les données personnelles semblent migrer des droits de la personnalité en principe incessibles vers un droit patrimonial.
Des débats parlementaires et de l’expression de la volonté générale dépendra en partie la fin de ces interrogations, à considérer que le droit puisse être effectif face à une activité commerciale grandissante.
SOURCES:
La commission nationale internet et liberté
Le Monde
Un Article de Martin UTERSINGER:
Un autre article de Yves EUDES
ALAIN BENSOUSSAN avocat à la cour d’appel de Paris spécialisé en droit des nouvelles technologies