La CJUE a suivi les réquisitions de son avocat général, Yves Bot.
« la décision 2000/520 doit être déclarée invalide dans la mesure où l’existence d’une dérogation qui permet d’une manière aussi générale et imprécise d’écarter les principes du régime de la ‘sphère de sécurité’ empêche par elle-même de considérer que ce régime assure un niveau de protection adéquat aux données à caractère personnel qui sont transférées aux États-Unis depuis l’Union européenne. »
Le mardi 6 octobre au matin, elle a invalidé le Safe Harbor signé entre la Commission européenne et les États-Unis le 26 juillet 2000 et qui réglemente le transfert et l’utilisation des données personnelles des internautes européens par les entreprises américaines.
Ce qui ne veut pas dire que le transfert de données s’arrête, mais qu’en cas de litige, Facebook, Google et consorts ne pourront pas s’abriter derrière le Safe Harbor pour affirmer que les transferts de données entre l’Europe et les Etats-Unis sont légalement protégés.
*YAY* #CJEU on #SafeHarbor:
SH invalid. DPC had to investigate.
#EUdataP— Max Schrems (@maxschrems) 6 Octobre 2015
Pour rappel, en marge des révélations d’Edward Snowden sur le programme PRISM (permettant à la NSA d’aller siphonner les données des internautes européens dans les serveurs des grandes entreprises américaines sous couvert de sécurité nationale), un jeune Autrichien, Maximilien Schrems, s’est tourné vers la CNIL irlandaise estimant que les données transférées depuis Facebook n’étaient pas suffisamment protégées.
L’autorité irlandaise de contrôle a rejeté sa plainte prétextant que l’accord signé par la Commission prévoyait que les États-Unis « offrent un niveau de protection adéquat » (c’est-à-dire équivalent à celui fourni par l’Union, NDLR). Protection prévue dans le cadre du régime dit de la « sphère de sécurité » auquel les entreprises américaines peuvent souscrire volontairement. La Haute cour de justice d’Irlande a donc saisi la CJUE.
Dans sa décision, la CJUE estime que les autorités nationales de contrôle, autrement dit les CNIL européennes, doivent conserver leur pouvoir de contrôle et de sanction sur le traitement des données personnelles des Européens, « même en présence d’une décision de la Commission », afin de s’assurer que la directive est respectée.
« La Cour estime que l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle. »
La CJUE est seule habilitée à remettre en cause un acte de la Commission européenne. Dans son communiqué, elle tance alors cette dernière qui « était tenue de constater que les États-Unis assurent effectivement […] un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte.
La Cour relève que la Commission n’a pas opéré un tel constat, mais qu’elle s’est bornée à examiner le régime de la sphère de sécurité. »
Sans jamais le nommer, le système de surveillance tentaculaire mis en place par l’administration US est dénoncé. La Cour relève alors, « sans qu’il y ait besoin de vérifier si ce régime assure un niveau de protection » adéquat, qu’il ne concerne pas les administrations publiques, mais uniquement les entreprises américaines qui y souscrivent. En outre, ce régime dit de « sphère de sécurité » peut être facilement contourné dès lors que « des exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis » entrent en jeu.
Les entreprises sont alors « tenues d’écarter, sans limitation, les règles de protection prévues par ce régime », rendant ainsi possible « des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes. »
Les juges pointent l’absence de recours juridique en cas de violation de ces droits fondamentaux. Les révélations d’Edward Snowden n’ont pas été vaines puisque la CJUE appuie sa décision sur « deux communications de la Commission » établissant que « les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale ».
Pour la CJUE, le Safe Harbor offrait un accès « généralisé au contenu de communications électroniques » des Européens. Cet accord portait donc « atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective ».
La CJUE suit ainsi les conclusions de l’avocat général qui considérait qu’un pays :
« Il s’ensuit nécessairement que, a fortiori, des pays tiers ne sauraient en aucun cas être réputés assurer un niveau de protection adéquat aux données à caractère personnel des citoyens de l’Union lorsque leur réglementation autorise effectivement la surveillance et l’interception massive et non ciblée de ce type de données. »
Les États-Unis avaient vivement réagi à l’avis rendu par Yves Bot via sa mission permanente au sein de l’Union européenne en jugeant qu’il reposait sur « de nombreuses affirmations inexactes au sujet des pratiques de renseignement des États-Unis ». La Mission avait nié la surveillance de masse prétendument exercée par les États-Unis. Elle se félicitait du cadre réglementaire du Safe Harbor, des efforts entrepris pour le renforcer et averti qu’une remise en cause « saperait la capacité des autres pays, entreprises et citoyens à compter sur des arrangements négociés avec la Commission européenne ».
Les entreprises américaines (4000 bénéficient du Safe Harbor) doivent-elles pour autant trembler ? Rien n’est moins sur, si cela sonne comme un coup de semonce, de multiples dérogations existent.
Notamment l’article 26 de la directive 95/46/CE du 24 octobre 1995 (Directive sur la protection des données personnelles), qui permet à un État membre d’autoriser le transfert de données vers un pays n’assurant pas un niveau de protection adéquat lorsque par exemple :
– « la personne concernée a indubitablement donné son consentement au transfert envisagé » : quid des terms and conditions signés les yeux fermés sans être lus ?
– « le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement » ;
– « le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes […] ces garanties peuvent notamment résulter de clauses contractuelles appropriées ».
Par ailleurs, les Binding Corporate Rules (BCR) permettent également de déroger à la règle. La CNIL les définit comme « un code de conduite interne qui définit la politique d’un groupe en matière de transferts de données personnelles hors de l’Union européenne. »
Elles se présentent comme une alternative aux Clauses Contractuelles Types, « En ce sens, elles constituent également une alternative aux principes du Safe Harbor pour les transferts vers les États-Unis. »
La décision de la CJUE n’en est pas moins un signal fort à l’adresse des géants du web qui devront, si ce n’est redéfinir leur modèle économique, repenser leur manière de traiter les données personnelles des Européens. En coupant le robinet des données, la CJUE va peut-être inciter les géants du web à héberger les données personnelles des citoyens européens en Europe, comme l’a exigé la Russie en mai dernier sous peine de blocage (mais pour d’autres raisons notamment). Néanmoins, les petites entreprises bénéficiant du Safe Harbor n’ont pas nécessairement les moyens d’ouvrir des centres de stockage et de traitement sur le vieux continent.
En attendant, les 4 000 entreprises ayant recours au Safe Harbor naviguent dans l’incertitude, prises de court par ce vide juridique. Bruxelles, qui ne veut pas voir se multiplier les accords entre entreprises et pays européens, promet d’édicter des « lignes directrices » à destination des autorités européennes de contrôle des données.
Le Safe Harbor doit maintenant être révisé. Une procédure déjà en cours avec la Commission européenne. En marge de la signature d’un accord portant sur la protection des données des citoyens européens dans le cadre d’un échange d’informations judiciaires, la Commissaire européenne à la Justice, Vera Jourova annonçait être désormais en mesure de « finaliser rapidement notre travail sur le renforcement du Safe Harbor pour l’échange de données à des fins commerciales ».
Avec la décision de la CJUE, la Commission européenne va s’en doute devoir revoir ses délais si elle ne veut pas voir cet accord à nouveau invalidé.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
On se demande pour qui roule la Commission Européenne pour ouvrir si grandes ls portes ‘accès d os données aux ricains.
Sans compter les négociations sournoises, voire même secrètes pour mettre sur pieds le traité TAFTA.
C’es à se demander s’ils ne sont pas en train de nous vendre aux USA.
Mais sur c coup la CJU a fait preuve d’une lucidité étonnante et on ne peut que louer leur clairvoyance.
De toutes les news concernant la sécurité des données personnelles et la tumulte autour de la NSA , c’est la première fois et la première institution qui me réconforte un poil
C’est une volée de coups de bâtons dont la Commission européenne aura du mal à se remettre : la Cour l’a traitée de voyou ( au “mieux”, d’incapable ! ) . Enfin, vient le contre-coup de l’alerte Snowden !… Il était temps !…