L'abolition du Safe Harbor: vers un renforcement de la protection des données personnelles européennes ?
Introduction
Le transfert de données a pris une place considérable dans notre vie depuis l'avènement des réseaux sociaux. Tout ce que nous regardons, "likons" ou partageons est collecté. Principalement dans un but commercial, pour que tous nos centres d'intérêts apparaissent à l'écran sans même que nous ayons à les chercher. Ces informations sont considérées comme des données à caractère personnel et sont donc protégées, au niveau européen, par plusieurs textes juridiques. La directive 95/46/CE a été adoptée afin que les diverses utilisations possibles de ces données ne contreviennent pas à l'article 8 de la Convention de sauvegarde des droits de l'Homme et des libertés fondamentales, protégeant la vie privée et familiale. Cette directive a posé comme principe l'interdiction du traitement généralisé et automatique des données, à moins que ce ne soit proportionné, transparent et réalisé dans un but légitime. Ainsi est interdit le transfert de données vers des pays dont le niveau de protection est inférieur au niveau européen. Pour que les États-Unis puissent s'accorder aux exigences européennes, la Federal Trade Commission a, en coopération avec la Commission européenne, mis en place le Safe Harbor, ou Sphère de sécurité. Le Safe Harbor est un ensemble de sept principes que les entreprises américaines s'engagent à respecter lorsqu'elles transfèrent et traitent des données personnelles. Mais les entreprises ne sont pas obligées de respecter la Sphère, environ 4500 entreprises l'utilisent[1]. Dans sa décision 2000/250 du 26 juillet 2000, la Commission européenne a tout de même reconnu que grâce à cette Sphère de sécurité, les USA protégeaient suffisamment les données à caractère personnel.
C'est donc en se basant sur ces textes que les entreprises de l'internet américaines transfèrent, vers les États-Unis, les données qu'elles collectent en Europe.
Max Schrems, un étudiant autrichien en droit, sensible au respect du droit et aux questions de la vie privée (en 2007 il a attaqué en justice un restaurant qui avait placé des caméras de surveillance dans la rue, ce qui est interdit en Autriche), s'intéresse à la conservation de ses données par Facebook. Il se rend compte que Facebook conserve toutes les activités de ses utilisateurs. Il entame alors une procédure contre Facebook en Irlande car c'est là que se situe le siège de la filiale européenne. A la suite des révélations faites par Edward Snowden sur le programme de surveillance de la NSA, PRISM, les actions de Schrems prennent beaucoup plus d'ampleur.
En juillet 2014, l'affaire est portée devant la Cour de Justice de l'Union Européenne lorsque la Haute Cour de Justice d'Irlande lui renvoie deux questions préjudicielles. Elle demande si la décision 2000/250 « de la Commission a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté »[2].
Les Juges de Luxembourg commencent par établir que rien n'interdit aux États membres de surveiller eux-mêmes les transferts de données personnelles. Ils ajoutent que les autorités nationales doivent pouvoir être en mesure d'examiner si ces transferts sont en accord avec la directive.
La Cour va ensuite invalider la décision 2000/250. Elle relève notamment l'absence de voies de recours administratives ou judiciaires pour les personnes souhaitant un accès à leurs données personnelles, voire leur suppression.
Elle dénonce aussi le trop faible niveau de protection garanti par les États-Unis qui ne satisfait pas aux exigences européennes, en ce qu'il « autorise de manière généralisée la conservation de toutes les données à caractère personnel »[3].
L'arrêt C-362/14 représente une avancée salutaire pour l'encadrement du droit de l'Internet, mais que signifie-t-il pour la Commission et qu'implique-t-il pour l'économie numérique ?
Nous verrons dans un premier temps le camouflet que représente l'arrêt "Schrems contre Facebook" pour la Commission européenne (I) et dans un second temps les conséquences de cette jurisprudence (II).
I. Le désaveu de la Commission par la Cour
Seule la Cour de Justice de l'Union Européenne est compétente pour se prononcer sur la validité d'un acte de l'Union. L'annulation de la décision 2000/250 et, par conséquent, du Safe Harbor, est un coup dur pour la Commission qui se voit reprocher sa méthode de travail sur cette question. Mais cela dénote aussi d'une certaine indépendance de l'Union européenne vis-à-vis des USA: la Cour remet ainsi en question la surveillance généralisée opérée par les Américains.
Cependant il convient de souligner que c'est avant les attentats du 11 septembre 2001 que ces textes ont été adoptés. L'opinion publique vis-à-vis de la surveillance électronique était alors radicalement différente. Après les attentats et la stupeur des Américains d'être touchés sur leur territoire national, une tendance s'est naturellement développée en faveur de plus de sécurité (comme ce fut également le cas en France après le 13 novembre 2015[4]). Mais, avec le temps, la légalité de ces mesures de surveillance massive est de plus en plus contestée, notamment suite à la révélation du scandale du programme PRISM. La méfiance envers les géants de l'Internet demeure toutefois moindre aux États-Unis, le "9/11" ayant profondément marqué le pays. Cela explique que ses habitants soient plus enclins à accepter cette surveillance pour garantir leur sécurité que les Européens. Ils semblent avoir oublié cette citation attribuée à Benjamin Franklin: « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux. »
En voulant tout contrôler, les Américains ont perdu le contrôle de l'intrusion dans la vie privée. Une surveillance d'une telle envergure ne pourra jamais être justifiée. Si les défenseurs de la NSA font la distinction entre "collecte de données" et "surveillance", imaginons qu'il ne s'agisse plus de données numériques mais de correspondances postales. Personne n'accepterait que les services postaux conservent une copie de ses envois, justifiant cette ingérence par le fait qu'ils ne les regardent pas. Il devrait en aller de même pour les données numériques: elles sont garanties par un droit fondamental et rien ne doit les en soustraire.
La Cour condamne donc une violation de la Convention Européenne des Droits de l'Homme. Un des arguments de la défense de Facebook était de rappeler que d'autres pays menaient des programmes de surveillance similaires (ce qui explique le peu de réactions des gouvernements européens). Mais à la différence des USA, l'Europe est dotée d'un organe permettant aux citoyens européens de se défendre contre des atteintes à leurs droits fondamentaux: la Cour Européenne des Droits de l'Homme.
L'absence, aux États-Unis, de voies de recours permettant de protéger la vie privée montre que le droit au respect de celle-ci n'est pas le même selon le côté de l'Atlantique où l'on se trouve.
En plus donc d'une fluctuation de la notion de ce droit fondamental dans le temps, l'espace est aussi un facteur important à prendre en compte. Si on ne s'attend pas à ce que la Chine protège de la même manière la vie privée de ses citoyens que l'Europe, il ne devrait pas y avoir autant de différences entre cette dernière et les USA.
Malheureusement le droit au respect de sa vie privée n'est pas un droit à portée universelle dans les pays occidentaux.
La Cour reproche à la Commission de s'être uniquement basée sur l'existence de la Sphère de sécurité pour conclure que les USA garantissaient un niveau de protection des données personnelles suffisant, sans pour autant proposer d'autres critères pour juger de ce niveau.
De plus un accord valable seize ans dans un domaine qui connait régulièrement des évolutions majeures aurait dû faire l'objet d'un réexamen périodique. La Commission aurait dû, d'elle-même, se remettre en question sur sa décision 2000/250 sans attendre que Max Schrems se mobilise. Ce qui amène une autre question: existe-t-il d'autres Safe Harbor qui donnent accès aux données personnelles européennes à des pays qui ne remplissent pas les critères de la directive 95/46/CE ?
II. L'après Safe Harbor
En attendant un nouveau texte pour remplacer le Safe Harbor les entreprises peuvent utiliser les règles d'entreprise contraignantes (Binding Corporate Rules, BCR). Adoptées par l'entreprise, elles fixent sa politique en matière de transfert de données personnelles vers un pays tiers, afin d'être en règle avec la directive 95/46/CE. Mais les BCR sont imparfaites car elles ne constituent pas une loi nationale ou un accord international. Elles leurs sont donc inférieures dans la hiérarchie des normes. Les BCR ne soustraient pas les entreprises américaines aux lois américaines, qui pourront donc toujours être sollicitées par la NSA. Cependant, les autorités nationales européennes pourront sanctionner un transfert de données vers une entreprise ayant adopté des BCR mais participant toujours à la surveillance de masse par la NSA, maintenant qu'elles ont retrouvé leur compétence en matière de contrôle des transferts de données personnelles.
Une autre solution, prévue par la directive, pour pouvoir continuer de transférer des données de l'Europe vers les USA, est d'obtenir le consentement des internautes. Selon la directive 95/46/CE, pour que cette méthode soit valable, il faut que le consentement soit "libre, spécifique et informé". Le point faible de ces conditions est qu'elles ne sont pas assez précises: le consentement est-il libre lorsqu'il est requis pour utiliser le site internet ? Comment donner un consentement informé lorsqu'existe un programme secret tel que PRISM ?
La création de centre de traitement sur le territoire européen comme l'a préconisée l'Allemagne, permettrait même de contourner tout le problème car les données resteraient dans l'espace européen. Facebook en a d'ailleurs déjà un en Suède et a prévu d'en construire un second en Irlande.
Le scandale de la NSA va encore faire couler beaucoup d'encre avec l'élection présidentielle qui arrive. Les candidats aux primaires républicaines sont en effet pour davantage de surveillance, contrairement à la justice américaine qui a, au mois de juin, interdit à l'agence de poursuivre ses écoutes téléphoniques.
Après des négociations compliquées, l'Union Européenne et les États-Unis ont fini par conclure un nouvel accord pour remplacer le Safe Harbor, il s'agit du "bouclier de vie privée UE-États-Unis" (EU-US Privacy Shield). Encore jeune (il date du 2 février 2016), il doit d'abord être analysé par les autorités nationales de protection, qui espèrent rendre un avis en avril. Il n'est donc pas encore entré en vigueur. Les quelques informations communiquées par la Commission Européenne révèlent que ce bouclier, bien que déjà critiqué, va offrir plusieurs voies de recours aux Européens pour se défendre contre des ingérences dans leur vie privée. La bonne application de cet accord sera vérifiée annuellement. Et pour la première fois les États-Unis ont donné des garanties écrites que la surveillance de masse ne s'appliquera plus aux données Européennes.
Afin que tous ses citoyens bénéficient de la même protection de la vie privée, l'UE a adopté des directives tendant vers l'uniformisation des règles régissant le transfert des données à caractère personnel sur son territoire. Cependant, les conceptions européennes et américaines divergent sur ce sujet. L'Union encadre le transfert de donnée selon le principe fondamental de l'article 8 de la Convention Européenne des Droits de l'Homme, tandis que les Américains ne l'envisagent que dans un but sécuritaire et commercial. L'harmonisation obtenue semble donc la meilleure solution à la conciliation des intérêts en présence.
La fin de la Sphère et l'arrivée du Privacy Shield ne remettent en cause l'Umbrella Agreement, un accord portant sur la protection des données en matière pénale. En effet une voie de recours aux USA pour les Européens était déjà prévue dans cet accord. Cependant, son domaine d'application très précis montre qu'il est compliqué pour les États-Unis de se conformer aux exigences de l'Union Européenne. D'autant plus que l'Union a peu de pouvoir pour arrêter la surveillance de masse qui sévit outre-Atlantique. Elle peut insister sur l'aspect économique qui rend ces accords nécessaires. Indirectement la NSA a un impact négatif sur l'économie numérique. Les entreprises américaines ne peuvent se soustraire au programme PRISM et voient leurs affaires limitées par la règlementation européenne.
Max Schrems avait aussi intenté un recours collectif en Autriche contre Facebook. La Cour d'appel de Vienne a jugé que la demande de Max Schrems était recevable, mais que celles des autres plaignants du recours collectif ne pouvaient s'y joindre pour former une class action comme il en existe en Amérique.
L'affaire initiale qui avait débuté en Irlande a repris devant la Haute Cour de Justice d'Irlande avec les réponses que la CJUE a fournies.
A la suite de l'arrêt C-362/14, trois plaintes ont été déposées par Max Schrems et son équipe contre Facebook en Irlande, en Belgique et en Allemagne, afin que ces pays conservent les données et cessent de les transférer vers les USA car il n'y a plus de texte autorisant un tel transfert.
BIBLIOGRAPHIE
Textes officiels
Union européenne
- Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOL 281 du 23 novembre 1995, pp. 31 – 50
- 2000/520/CE: Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique, JOL 215 du 25 août 2000, pp. 7 – 47
- Communiqué de presse n° 117/15, Cour de Justice de l'Union européenne, 6 octobre 2015
Jurisprudence
- Arrêt de la Cour (grande chambre) du 6 octobre 2015, Affaire C-362/14, Max Schrems contre Data Protection Commissioner
Articles
- Castets-Renard C., "Invalidation du Safe Harbor par la CJUE : tempête sur la protection des données personnelles aux États-Unis", Recueil Dalloz, 14 janvier 2016
- Castets-Renard C., "Données personnelles : accord entre la Commission et les États-Unis", Recueil Dalloz, 11 février 2016
- Daoud E. Péronne G., "Transferts de données personnelles entre l'Union européenne et les États-Unis : clap de fin pour le Safe Harbor", AJ Pénal, 16 décembre 2015
- Solove D., "Sunken Safe Harbor: 5 Implications of Schrems and US-EU Data Transfer", LinkedIn, 6 octobre 2015
- Sous la direction de François-Bernard Huyghe, "Cyberespace: le temps de l'après Snowden", Observatoire géostratégique de l'information, mars 2014
Sites internet
http://europe-v-facebook.org/EN/en.html
http://www.export.gov/safeharbor/
[1] Daniel Solove, 6 octobre 2015, Sunken Safe Harbor: 5 Implications of Schrems and US-EU Data Transfer https://www.linkedin.com/pulse/sunken-safe-harbor-5-implications-schrems...
[2] CJUE, 6 octobre 2015, Communiqué de presse n°117/15.
[3] Ibid.