Safe Harbor

Laisser un commentaire


L'OCDE contre l'évasion fiscale des multinationales

La justice européenne invalide le très controversé Safe Harbor, un accord sur les données personnelles

Le Monde.fr | Martin Untersinger

La justice européenne a invalidé un accord qui permet notamment aux géants du Web d’utiliser les données des internautes européens.

La Cour de justice de l’Union européenne (CJUE) a décidé, mardi 6 octobre, de suspendre le « Safe Harbor », un accord qui encadre l’utilisation des données des internautes européens par de nombreuses entreprises américaines, dont les géants du Web.

Lire aussi : Pourquoi l’accord Safe Harbor sur les données personnelles cristallise les tensions

Pour la Cour, les autorités de protection des données personnelles doivent conserver leur pouvoir de contrôle et de sanction sur la manière dont les données personnelles des Européens sont traitées. Les juges ont estimé que la mise à disposition des données personnelles des Européens aux agences de renseignement américaines portait « atteinte au contenu essentiel du droit fondamental au respect de la vie privé ».

La Cour de Luxembourg pointe également le fait que les citoyens européens, par définition, ne disposent d’aucun recours pour protester contre l’utilisation de leurs données personnelles aux Etats-Unis.

Les juges écornent enfin sévèrement la Commission, qui a noué le Safe Harbor avec les Etats-Unis :

« La Commission était tenue de constater que les Etats-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union. La Cour relève que la Commission n’a pas opéré un tel constat. »

Les juges de la CJUE ont suivi le réquisitoire de l’avocat général : pour la Cour, la surveillance exercée par les agences de renseignement américaines et révélée par les documents Snowden rend caduc cet accord. Ce dernier prévoit en effet que les données des Européens peuvent être transférées depuis le Vieux Continent vers les Etats-Unis tant qu’une « protection adéquate », c’est-à-dire en ligne avec celle qu’accorde le droit européen, est appliquée à ces données.

La surveillance américaine en procès

La procédure a débuté en Irlande, le pays où se trouve le siège européen de Facebook. Un étudiant autrichien, Max Schrems, avait déposé une plainte contre le réseau social, dans la foulée de la révélation par Edward Snowden du programme Prism, qui aménage pour les agences de renseignement américaines un accès privilégié aux données de leurs utilisateurs, y compris celles des Européens. Pour lui, cette violation manifeste de ses droits, protégés par les textes européens, devait être sanctionnée par l’Autorité irlandaise de protection des données.

Lire aussi : Max Schrems, le « gardien » des données personnelles qui fait trembler les géants du Web

Cette dernière avait refusé de se pencher sur son cas, citant les conditions très restrictives du Safe Harbor. L’affaire, après la Haute Cour irlandaise, est arrivée devant la CJUE, qui a donc dû se prononcer sur la compatibilité de cet accord avec le droit européen en matière de données personnelles.

Max Schrems s’est réjoui dans un communiqué de la décision de la CJUE :

« Cette décision est un coup sérieux porté à la surveillance mondiale des Etats-Unis, qui se repose massivement sur des partenaires privés. Cet arrêt montre clairement que les entreprises américaines ne peuvent pas contribuer à l’espionnage américain en violant les droits fondamentaux européens. »

Par la voix de sa représentation auprès de l’Union européenne, les Etats-Unis avaient, avant même la décision de la Cour, nié pratiquer une surveillance massive des données des Européens et affirmé que les outils à disposition de leurs agences de renseignement étaient utilisés avec mesure.

Après la décision sur le « droit à l’oubli » du printemps 2014, c’est la deuxième fois en peu de temps que la justice de l’Union européenne s’immisce dans les affaires des géants du Net. La décision rendue ce mardi pourrait cependant avoir des conséquences encore plus grandes, dans un monde où les données sont, selon l’expression consacrée, « le nouveau pétrole ».

L’annulation du Safe Harbor devrait en effet contraindre Google, Facebook et consorts – environ 4 000 entreprises américaines présentes en Europe y ont recours – à davantage conserver en Europe les données de leurs utilisateurs européens et donc à limiter leurs marges de manœuvre en matière d’exploitation de ces données.

Lire aussi : Données personnelles : les géants du Web redoutent une décision de la justice européenne

Données personnelles: comment la justice européenne ébranle Facebook et Google

cjue-cour-justice-union-europeenne_5439197La Cour de justice de l’Union européenne (ici une salle d’audience) a invalidé le « Safe Harbor ».

Cour de justice de l’Union européenne

La Cour de justice de l’UE a dénoncé le « Safe Harbor », accord qui permettait de transférer des données personnelles d’internautes européens aux Etats-Unis. Une décision lourde de conséquences pour les géants du net.

Coup dur pour Facebook et consorts. La Cour de justice de l’Union européenne (CJUE) a invalidé ce mardi le cadre juridique qui couvre le transfert de données personnelles d’internautes européens aux Etats-Unis. Cet accord, qui avait été négocié par la Commission européenne en 2000, est connu sous le nom de « Safe Harbor« .

La CJUE a donné raison à un internaute autrichien, Max Schrems, qui s’opposait au transfert de ses données récoltées par Facebook vers les Etats-Unis. Ce faisant, l’arrêt de la CJUE remet en cause tous les accords relatifs aux données personnelles entre l’Union européenne et les Etats-Unis. Dans une certaine mesure, il confirme la rupture déclenchée par les révélations d’Edward Snowden sur le programme PRISM. Snowden n’a d’ailleurs pas manqué de féliciter le jeune Autrichien sur son compte Twitter.

La Cour a suivi l’avis de l’avocat général émis le 23 septembre, qui avait donné lieu à une réaction très vive des Etats-Unis. A l’époque, les Américains estimait qu’une telle décision « saperait la confiance des autres pays, des entreprises et des citoyens dans les accords négociés avec la Commission européenne ».

Ce que dit la Cour

Elle juge le Safe Harbor incompatible avec le droit européen sur la protection des données personnelles. Pour la Commission, le niveau de protection accordé aux données personnelles transférées vers les Etats-Unis est réputé adéquat, à partir du moment où les entreprises adhèrent au Safe Harbor. Cette adhésion revient à promettre de respecter un certain nombre de pratiques afin d’être en conformité avec les règles européennes. La CJUE dénonce ce point de vue: l’arrêt affirme que l’existence de cet accord ne doit pas empêcher les autorités nationales de protection des citoyens sur Internet de contrôler les transferts de données. Et d’en tirer les éventuelles conséquences.

Elle critique l’attitude de la Commission européenne. Pour la CJUE, la Commission « s’est bornée à examiner le régime » du Safe Harbor, en laissant les entreprises concernées prendre les mesures qu’elles estimaient convenir.

Elle relève que l’Etat américain n’est pas soumis au Safe Harbor. La Cour estime que les intérêts de la sécurité intérieure américaine l’emportent sur les exigences du Safe Harbor, qui ne s’applique qu’aux entreprises.

Des conséquences pour les relations entre Etats-Unis et Europe?

L’arrêt de la CJUE suspend l’accord « Safe Harbor ». Tous les transferts de données seront donc désormais effectués sans s’appuyer sur aucune base légale. Selon Digital Europe, environ 4500 entreprises (dont Facebook et Google, mais aussi des entreprises européennes qui traitent des données aux Etats-Unis) sont concernées. On comprend pourquoi Facebook a réagi immédiatement, jugeant « impératif que les gouvernements de l’UE et des Etats-Unis assurent qu’ils continuent de fournir des méthodes fiables pour des transferts légaux de données ».

L’accord était en cours de renégociation depuis deux ans. Les discussions ont désormais plus de chances d’aboutir à un cadre plus contraignant. La CJUE a montré ces dernières années sa détermination à garantir un cadre très protecteur pour les Européens. On l’a vu notamment avec l’instauration du droit à l’oubli. Interrogée par L’Express, EU-Logos Athéna, association qui anime un observatoire européen, notamment sur les questions de justice et de libertés civiles, estime que « la Commission aura certainement plus de difficultés à faire des concessions majeures au partenaire américain ».

De manière plus générale, cette fermeté va peser. Elle pourrait avoir un impact sur les discussions autour de la réforme de la directive européenne sur la protection des données (qui doit devenir plus contraignante vis-à-vis des Etats) jusqu’au traité transatlantique (TAFTA ou TTIP). Dans toutes ces négociations, « la Commission, décrédibilisée, pourrait souffrir d’une certaine faiblesse par rapport au Parlement », estime EU Logos, qui ajoute que « la protection des données n’est pas du tout une question marginale du TTIP ».

Quel impact sur vos comptes Facebook?

Dans l’immédiat, il ne devrait pas y avoir de conséquences palpables pour le grand public: pas de suspension de service de Facebook en Europe. Mais la Cnil irlandaise, qui enquête actuellement sur Facebook, pourrait décider par exemple de suspendre le transfert de données des internautes européens vers les Etats-Unis.

De leur côté, les entreprises concernées mettent en avant les risques pour les échanges entre l’Europe et les Etats-Unis.

En attendant que la situation soit clarifiée, des clauses contractuelles pourraient permettre de poursuivre les transferts de données entre les deux continents. Le New York Times indique que depuis l’avis de l’avocat général, les grandes entreprises ont mobilisé leurs juristes pour mettre en place des plans de continuation de l’activité.

A terme, les géants du Web pourraient être obligés de maintenir toutes leurs données sur le territoire européen. Mais s’il a fallu 15 ans pour revenir sur le « Safe Harbor », on peut douter que l’on en arrive dans les prochains mois à cette extrémité.

Safe Harbor suspendu : une décision importante mais qui ne changera… rien

La Cour européenne de justice a suspendu un accord entre Bruxelles et les Etats-Unis autorisant les géants du net à utiliser les données personnelles des Européens. Explications.

Dans le data center de Facebook en Suède (JONATHAN NACKSTRAND / AFP)Dans le data center de Facebook en Suède (JONATHAN NACKSTRAND / AFP)

La Cour de justice de l’Union européenne (CJUE) a décidé, mardi 6 octobre, de suspendre le « Safe Harbor », un accord qui encadre l’utilisation des données des internautes européens par les entreprises américaines, dont les géants Google et Facebook.

# Qu’est-ce que le Safe Harbor ?

Il s’agit d’un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne.

Ces principes ont été négociés entre les autorités américaines et la Commission européenne en 2001. Ils reprennent essentiellement ceux de la directive 95/46 du 24 octobre 1995, à savoir :

  • information des personnes,
  • consentement explicite nécessaire pour l’utilisation de données sensibles,
  • possibilité de s’opposer à un transfert ou à une utilisation de ses données pour des finalités autres qu’annoncées,
  • droit d’accès et de rectification,
  • sécurité des données.

Le Safe Harbor vise ainsi à « assurer un niveau de protection suffisant » pour les données des internautes européens qui sont traitées par des entreprises basées aux Etats-Unis, souligne la Cnil (Commission nationale de l’informatique et des libertés).

Pour alléger les procédures, les sociétés américaines peuvent s’auto-certifier. La liste des concernés affiche 5.475 entreprises, dont Google, Facebook, Amazon, Apple et Microsoft.

Dans le data center de Facebook en Suède (JONATHAN NACKSTRAND / AFP)
(JONATHAN NACKSTRAND / AFP)

# Pourquoi l’accord est-il critiqué ?

Les révélations d’Edward Snowden, ancien consultant de l’agence de renseignement américaine NSA, ont mis en lumière en 2013 des pratiques d’espionnage de masse des européens, avec la collaboration active de géants américains de l’internet.

Si une clause de l’accord permet aux autorités américaines d’accéder – en cas de menace pour la sécurité nationale – aux données personnelles des Européens, la Commission européenne n’imaginait pas que les Américains s’en serviraient pour mettre en place une surveillance de masse. Plusieurs responsables européens ont alors réclamé la suspension du Safe Harbor.

La suspension n’avait pas eu lieu jusqu’à aujourd’hui, même si la Commission européenne et le Département du commerce américain ont entamé des discussions pour une révision du Safe Harbor. Une date butoir au 31 mai avait été fixée, mais n’a pas être respectée, faute d’accord.

« Personne n’imagine vraiment que les Américains vont cesser leurs activités », observe dans « Le Monde » l’avocat d’affaires Olivier Haas, en charge de ce dossier au cabinet John Day.

L’objectif des Européens pour le Safe Harbor 2 est seulement de limiter et d’encadrer ces pratiques, et de créer des mécanismes de recours et de contestation en cas d’abus. »

Dans le data center de Facebook aux Etats-Unis (Alan Brandt/AP/SIPA)
(Alan Brandt/AP/SIPA)

# Pourquoi la CJUE s’est-elle saisie du sujet ?

Tout est parti de l’Autrichien Maximilian Schrems. En 2011, alors qu’il n’était qu’un étudiant de 24 ans, le jeune homme a mis en lumière l’appétit très vorace de Facebook pour les données personnelles de ses utilisateurs, stockant toujours plus sans jamais rien effacer. A l’été 2014, devenu avocat, il a déposé une plainte contre la surveillance exercée par le réseau social, dans le sillage des révélations d’Edward Snowden.

La justice s’est toutefois déclarée incompétente, puisque les transferts de données personnelles vers les Etats-Unis sont couverts par le Safe Harbor. Max Schrems a alors fait appel, et c’est la Cour d’appel qui a décidé de demander l’avis de la Cour de justice de l’Union européenne.

Yves Bot, avocat général de la CJUE, s’est chargé de l’enquête. Et ses conclusions, publiées le 23 septembre, critiquent vertement les faibles garanties offertes aux Européens par Facebook. Il estime que les agences nationales de protection de la vie privée (la Cnil en France) demeurent bien compétentes pour défendre les données de leurs citoyens face à des multinationales. Pis, l’avocat général recommande d’invalider le Safe Harbor. Ces conclusions sont consultatives mais ont bien été suivies.

Les Etats-Unis ont nié pratiquer toute surveillance massive des Européens, affirmant que leurs agences de renseignement utilisent leurs outils avec mesure.

Dans le data center de Facebook aux Etats-Unis (Andy Tullis/AP/SIPA)
(Andy Tullis/AP/SIPA)

# Qu’a décidé la CJUE ?

Dans sa décision, la Cour de justice de l’Union européenne invalide le Safe Harbor, estimant que l’accord « n’assure pas un niveau de protection adéquat » aux Européens. Face aux révélations d’Edwards Snowden et à la lumière de la demande de Max Schrems, la Cour a estimé que la NSA porte « atteinte au contenu essentiel du droit fondamental au respect de la vie privée ».

La CJUE pointe également que les citoyens européens ne disposent d’aucun recours pour protester contre l’utilisation de leurs données personnelles aux Etats-Unis, et que c’est donc à l’autorité de contrôle d’un Etat membre d’examiner la plainte de l’Autrichien (en l’occurrence, l’agence en Irlande, où est localisée le siège européen de Facebook). Enfin, la Cour tacle la Commission européenne, qui a voté le Safe Harbor :

La Commission était tenue de constater que les Etats-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union. La Cour relève que la Commission n’a pas opéré un tel constat. »

Dans le data center de Google aux Etats-Unis (Connie Zhou/AP/SIPA)
(Connie Zhou/AP/SIPA)

# Que va-t-il se passer ?

La balle revient dans le camp irlandais : l’autorité de contrôle nationale va devoir mener des investigations pour savoir si, oui ou non, Facebook viole la loi européenne de protection des données personnelles.

Pour le reste, cette décision ne devrait pas entraîner de bouleversement, même si la problématique est lancée. Les entreprises américaines concernées par le Safe Harbor vont devoir davantage conserver en Europe les données personnelles de leurs utilisateurs européens, ce qui pourrait limiter l’exploitation de celles-ci par des algorithmes.

Toutefois, l’article 26 de la directive de 1995 prévoit qu’un transfert de données personnelles est possible même vers « les pays tiers n’assurant pas un niveau de protection adéquat », souligne le site Next Inpact. Il faut alors que l’internaute ait « indubitablement donné son consentement au transfert envisagé » ou que l’Etat estime que l’entreprise offre « des garanties suffisantes ».

On pourrait ainsi bientôt voir apparaître de nouvelles politiques à accepter d’un clic sur les géants du net, mais aussi des négociations entre la France et ces acteurs. La principale conséquence de la fin du Safe Harbor sera une défiance à l’encontre des entreprises américaines.

Le lobby Digital Europe, qui rassemble 35 organisations professionnelles et 59 entreprises du secteur dont Apple, Google et Microsoft, a dénoncé un impact négatif « sur les flux internationaux de données », qui va porter préjudice à « la création d’un marché numérique unique en Europe en fragmentant l’approche de l’Europe sur le traitement des flux de données à l’extérieur de l’Union européenne« .

Comme le rappelle le site Numerama, les entreprises pourront également se soumettre aux BCR (pour Binding Corporate Rules), c’est-à-dire un code de bonne conduite où elles garantissent contractuellement un niveau de protection des données personnelles suffisant en Europe. Ce contrat est passé avec les 28 autorités de protection de la vie privée. Plusieurs sociétés ont déjà sauté le pas, comme le géant du e-commerce eBay.

Safe Harbor : un accord invalide pour la justice européenne

cjue-safe-harbor

La Cour de justice de l’Union européenne a tranché : l’accord Safe Harbor est invalide. Quelles conséquences pour Facebook, Google et consorts ?

La décision rendue ce mardi 6 octobre 2015 par la Cour de justice de l’Union européenne (CJUE) pourrait être lourde de conséquences pour les quelque 4 000 entreprises américaines qui transfèrent des données personnelles de citoyens européens vers les États-Unis sous le couvert du Safe Harbor.

Publicité

Cet accord, négocié à la fin des années 90 entre les autorités américaines et la Commission européenne, avait été entériné par une décision du 26 juillet 2000. Il est aujourd’hui déclaré invalide à plusieurs titres.

La CJUE considère en premier lieu que les États-Unis ne garantissent plus un niveau suffisant de protection des données personnelles : selon les termes du jugement, la sécurité nationale et l’intérêt public prévalent aujourd’hui sur le Safe Harbor.

Les pouvoirs de la CNIL

Les juges pointent du doigt l’ingérence des services américains de renseignement, qui ont accédé aux données en question et les ont exploité « d’une manière incompatible avec les objectifs pour lesquels elles sont transférées », y compris en tenant compte des problématiques de sécurité nationale.

Les citoyens européens concernés n’ont pas ailleurs aucun recours, ni administratif, ni judiciaire, pour accéder aux informations stockées outre-Atlantique et éventuellement les modifier ou les supprimer.

Dans la lignée du réquisitoire formulé le 23 septembre par son avocat général Yves Bot, la CJUE a également réaffirmé « les pleins pouvoirs » des autorités nationales chargées de la protection des données personnelles.

En d’autres termes, la CNIL et ses homologues européennes sont habilitées, au nom de la Charte des droits fondamentaux de l’UE, à examiner « en toute indépendance » le respect, par une entreprise américaine, des dispositions inscrites au Safe Harbor. Et ce malgré l’existence de la décision 2000/530/CE rendue le 26 juillet 2000 par Bruxelles. Elles peuvent ensuite solliciter la CJUE, qui seule a le le pouvoir de déclarer invalide une loi européenne.

Retour en Irlande

Comment en est-on arrivé à ce jugement ? Il faut remonter à cette plainte déposée par Max Schrems contre Facebook.

Cet Autrichien, docteur en droit, exigeait que la filiale européenne du réseau social, implantée en Irlande, cesse de transférer les données des citoyens européens, dans la mesure où les États-Unis n’en assureraient pas une protection adéquate. Et d’évoquer les révélations d’Edward Snowden autour du programme PRISM permettant à la NSA d’accéder librement aux informations hébergées sur des serveurs situés sur le territoire américain.

Estimant ne pas pouvoir se saisir du dossier au regard de la base juridique établie par la décision 2000/530/CE, la Haute Cour de justice d’Irlande avait fait appel à la CJUE pour trancher sur sa compétence.

Il lui appartient désormais, en vertu de la décision du 6 octobre, d’examiner la demande de Max Schrems et de décider si Facebook doit cesser le transfert des données des citoyens européens vers les États-Unis… et par là même en limiter l’exploitation. Un verdict qui pourrait faire tache d’huile sur des « géants du Web » comme Google, Amazon et Microsoft.

Safe Harbor : l’ISN salue la décision de la Cour de justice européenne

L’Institut de la Souveraineté Numérique

L’Institut de la Souveraineté Numérique (ISN) a accueilli avec satisfaction les récentes conclusions de l’avocat général de la Cour de justice de l’Union européenne dans l’affaire C362/14 (M. Schrems vs Data Protection Commissionner). Ces conclusions marquent en effet une inflexion importante dans l’application de la directive européenne sur la protection des données personnelles [1]. Elles marquent aussi la nécessaire prise en compte des révélations d’Edward Snowden sur les pratiques de surveillance de masse mises en place par la NSA et leurs conséquences sur la protection des données des citoyens européens.

Ces révélations remettent en cause le principe de « sphère de sécurité » qui prévalait jusqu’alors pour le transfert des données personnelles entre l’Union européenne et les États-Unis. À ce propos, Bernard BENHAMOU, Secrétaire général de l’Institut de la Souveraineté Numérique, déclare : « En réaffirmant le rôle des autorités nationales de protection des données personnelles vis-à-vis de l’accord Safe Harbor, ces conclusions placent aussi le principe de souveraineté sur les données au cœur de la doctrine européenne ».

En raison de leur importance cruciale pour les citoyens et les entreprises européennes, l’architecture des services qui recueillent les données personnelles doit être réexaminée à la lumière des nouvelles mesures de surveillance mises en place en Europe et aux États-Unis.

Les données personnelles des citoyens européens doivent désormais être protégées à la fois par des mesures d’encadrement juridique adéquates et par des mesures de protection technologiques en particulier cryptographiques. En effet, au-delà des services existants, la montée en puissance des nouveaux objets connectés et l’évolution des algorithmes de traitement des données en masse (big data), rendent plus nécessaire encore la protection de ces données.


[1] Communiqué de presse n° 106/15 de la Cour de justice de l’Union européenne (Luxembourg, le 23-09-2015) http://curia.europa.eu/jcms/upload/…

Safe Harbor, quand la justice européenne tente de protéger nos données des grandes oreilles américaines

En invalidant l’accord «Safe Harbor» sur le transfert de données personnelles depuis l’Europe vers le territoire américain, la Cour de justice de l’UE donne de nouveaux moyens d’agir aux défenseurs de la vie privée.

La décision était attendue de pied ferme, aussi bien du côté des défenseurs de la vie privée que de celui des géants du Net. Ce mardi matin, la Cour de justice de l’Union européenne (CJUE) a déclaré invalide le «Safe Harbor», l’accord qui encadre les transferts de données personnelles de citoyens européens vers les Etats-Unis. Les pratiques de surveillance massive de l’Agence nationale de sécurité (NSA) américaine sont de nouveau clairement pointées du doigt. Le lanceur d’alerte Edward Snowden n’a d’ailleurs pas manqué de saluer la décision européenne :

Europe’s high court just struck down a major law routinely abused for surveillance. We are all safer as a result. pic.twitter.com/mR4hHTrTok

— Edward Snowden (@Snowden) 6 Octobre 2015

C’est quoi, le Safe Harbor ?

Le Safe Harbor, ou «sphère de sécurité», est un accord passé, en 2000, entre la Commission européenne et le Département américain du commerce, pour permettre le transfert des données personnelles de citoyens européens vers le sol américain. Depuis une directive de 1995, ce transfert est en effet interdit vers des territoires où le niveau de protection des données personnelles est inférieur aux standards de l’Union européenne – ce qui est le cas des Etats-Unis.

Avec le Safe Harbor, il suffit aux entreprises américaines de s’engager à respecter les normes de l’UE en la matière, via une certification annuelle… qu’elles peuvent se décerner elles-mêmes. C’est ce qui permet à quelque 5000 entreprises – dont Facebook, Google, Amazon ou Microsoft – de stocker dans des serveurs situés aux Etats-Unis les données de leurs utilisateurs européens. Ainsi, sur le site de la Commission nationale de l’informatique et des libertés (Cnil) française, on peut lire que «l’adhésion au Safe Harbor permettant de garantir un niveau de protection suffisant au transfert de données vers une entreprise située aux Etats-Unis, ce transfert n’est pas soumis à une décision d’autorisation de la Cnil».

Pourquoi le Safe Harbor a-t-il été remis en cause ?

Cette affirmation d’un «niveau de protection suffisant» a été dynamitée par les révélations de Snowden sur les pratiques de surveillance massive de la NSA, notamment le programme Prism, qui permet à l’agence américaine d’accéder aux données stockées par les géants du Net. Dans la foulée, plusieurs acteurs de la société civile avaient demandé la suspension du Safe Harbor, de même que le Parlement européen, en mars 2014. Depuis, la Commission européenne et le Département américain du commerce se sont engagés dans une renégociation de l’accord.

Entre-temps, le Safe Harbor a aussi été remis en cause sur le plan judiciaire. Max Schrems, un juriste et militant autrichien du droit à la vie privée, est en effet parti il y a quelques années en croisade contre les pratiques de Facebook. D’abord en demandant, en 2011, une copie de ses données stockées par le réseau social – et en découvrant à cette occasion qu’y figuraient toujours des données qu’il avait effacées. Puis en déposant pas moins de 22 plaintes auprès de l’autorité de protection des données personnelles en Irlande, où Facebook a son siège européen. Après les révélations de Snowden, Schrems dépose une nouvelle plainte, pour demander qu’il soit mis fin au transfert de données personnelles depuis Facebook Ireland vers Facebook USA. La plainte est d’abord rejetée, au motif que ce transfert est précisément couvert par le Safe Harbor… Saisie de l’affaire, la Haute Cour de justice irlandaise a donc décidé de demander l’avis de la CJUE.

Qu’a décidé la CJUE ?

Le 23 septembre, l’avocat général de la CJUE, Yves Bot, rend ses conclusions. Lesquelles sont limpides. Pour lui, l’existence du Safe Harbor «ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle», les Cnil européennes. Si elles estiment qu’un transfert de données personnelles «porte atteinte à la protection dont doivent bénéficier les citoyens de l’Union», elles ont le pouvoir de le «suspendre». Surtout, Yves Bot écrit que «le droit et la pratique des Etats-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union […] sans que ces derniers bénéficient d’une protection juridictionnelle effective». Autrement dit, la surveillance de masse des données personnelles viole les droits fondamentaux des citoyens européens. Il recommande en conséquence l’invalidation pure et simple de l’accord Safe Harbor.

Dans une décision rendue publique ce matin, la CJUE a donc suivi les conclusions de son avocat général. Elle a déclaré «invalide» la décision de la Commission européenne reconnaissant le Safe Harbor, mais également estimé que cette dernière avait outrepassé ses compétences : elle n’aurait pas dû, par cette décision, «restreindre […] les pouvoirs des autorités nationales de contrôle». La Cour juge que les gendarmes européens de la vie privée ont toute légitimité pour examiner des plaintes de citoyens sur le sujet, et agir en conséquence. «Il n’y a plus d’accord général sur les transferts de données personnelles vers les Etats-Unis», résume Adrienne Charmet, chargée des campagnes de l’association la Quadrature du Net, qui a salué un «jugement courageux».

Quelles conséquences ?

A court terme, les flux numériques transatlantiques ne devraient pas pour autant se tarir, ni les entreprises américaines être contraintes de relocaliser en urgence sur le Vieux Continent les données de leurs utilisateurs européens. Il existe en effet d’autres manières d’autoriser les transferts de données, via des clauses contractuelles ou le système des «binding corporate rules», des règles de «bonne conduite» internes aux entreprises. Mais la décision de la CJUE pourrait «accélérer la renégociation du Safe Harbor», estime Adrienne Charmet. Même si, lors de la conférence de presse tenue ce mardi, le premier vice-président de la Commission, Frans Timmermans, et la commissaire à la justice Věra Jourová se sont bien gardé de donner un calendrier précis, indiquant simplement qu’ils espéraient aboutir à un accord avant l’été 2016.

En tout état de cause, le jugement européen donne de nouveaux moyens d’agir aux défenseurs de la vie privée. La Cnil irlandaise est désormais tenue d’examiner la plainte de Max Schrems «avec toute la diligence requise», à charge pour elle de décider «s’il convient […] de suspendre le transfert des données des abonnés européens de Facebook vers les Etats-Unis». Le groupement des Cnil européennes (G29) a d’ailleurs salué dans la décision de la CJUE la réaffirmation de la protection des données comme «partie intégrante du régime des droits fondamentaux de l’UE». Il a annoncé une réunion plénière à brève échéance, après de premières discussions d’experts dès cette semaine à Bruxelles. De son côté, Facebook Europe a exhorté les gouvernements européens et américain à continuer «de fournir des méthodes fiables pour des transferts légaux de données» et à résoudre «toutes les questions liées à la sécurité nationale».

«De façon moins directe, cela fait deux fois en dix-huit mois que la justice européenne considère que la surveillance de données personnelles en masse est une atteinte aux droits fondamentaux», relève Adrienne Charmet. En avril 2014, la CJUE avait en effet déjà invalidé une directive de 2006 sur la conservation des données personnelles. De quoi alimenter les débats sur la surveillance américaine ou sur le projet de règlement européen sur les données personnelles, actuellement en cours de négociation. Mais aussi, en France, sur les effets de la loi renseignement adoptée en juin dernier, et sur la proposition de loi sur la surveillance internationale, votée la semaine dernière à l’Assemblée, qui sera soumise au Sénat à la fin du mois

Données personnelles. Quand Facebook se prend l’Europe en pleine face

10-taz_meedia4“Dans ta face.” A la une de la Tageszeitung de ce 7 octobre, la jubilation est grande. Elle fait suite à “la décision historique de la Cour de justice de l’Union européenne”, annoncée la veille, qui doit rendre plus difficile le transfert de données personnelles de l’UE vers les États-Unis.

“Une victoire pour les militants de la vie privée, un problème pour Mark Zuckerberg et bien d’autres entrepreneurs du Net”, se réjouit le quotidien, très engagé sur ce sujet.

Concrètement, les juges ont invalidé l’accord dit “Safe Harbour” – le cadre juridique qui définissait le transfert des données personnelles à des fins commerciales entre l’UE et les Etats-Unis. La raison : les Etats-Unis ne peuvent pas garantir une protection suffisante des données, estiment les juges.

A l’origine de la plainte, le jeune Autrichien Max Schrems. Suite aux révélations d’Edward Snowden concernant les pratiques douteuses de l’agence de renseignements américaine NSA, ce juriste avait porté plainte, en 2013, contre la collecte de ses données par Facebook devant un tribunal irlandais – pays du siège européen du réseaux social – et avait demandé d’arrêter le transfert de ses données vers les Etats-Unis.

Conséquence : “L’Irlande a désormais le droit d’interdire le transfert des données des Européens”, explique le quotidien.

“Au moins le transfert invisible sera réduit”, estime le quotidien allemand dans son éditorial. “Si. Si seulement la politique ne s’en mêle pas de nouveau. Et si Bruxelles ne négocie pas un nouvel accord, comportant les mêmes conditions pourries qui font que quelqu’un devra attaquer en justice. Et le pire, c’est que la Commission en est capable !”

=======

réactions 

 Renaud DEFRANCE    YESSSS!

Christophe JAMPOLSKY          J’ai souvent pensé que l’état de droit était plus important que la démocratie formelle, pourvu que le recours à la justice soit à la hauteur…le seul pb étant qu’il faut choisir ceux qui feront les lois et les feront évoluer! En attendant, voici une excellente nouvelle. Ne pourrait on pas demander une validation préalable de TAFTA par cette cour ? Car, visiblement, nos politiques ne sont pas à la hauteur : ce sont eux qui ont signé ce « safe harbour »!

YTour                                       Cela fait plaisir de voir qu’il y a des organismes européens qui fonctionnent, pas seulement au service des multinationales.

Claude Boisnard                     Si on se met à protéger la vie privée où va-t-on ? Et notre loi française sur le renseignement et notre ministre qui disait (de mémoire) que bien sûr notre vie privée était surveillée mais que ce n’était pas une entorse à la liberté individuelle ?

Juan Vasquèz 

@Louis A                                  En fait c’est une institution contestée par bien des partis et bien des gouvernements à qui elle rappelle le droit qu’ils ont mis eux même en place (on rigole) , indépendante, je souligne, indépendante, des états ET de la Commission, qui nous protège. Ce qui me plaît bien dans l’UE, ce sont les institutions à l’abri des lobbies, comme cette cour si décriée quand elle dérange les intérêts partisans ou sectaires.

Louis A 

@Juan                                      Comme la Commission propose et les états disposent ce sont donc les états. Ce traité à été signé sous l’ère Barroso, un pitre nommé par les états pour que la Commission ne les dérange pas. Mais vous avez raison de remarquer l’indépendance de la cour. Et surtout qu’auraient fait les états sans l’UE? Ils n’auraient eu qu’un seul droit face aux US; la fermer.

Abdul Archiduc                         Oui c’est vrai.  Ça ne changera rien.                                                                                    Les agitateurs de briquets et autres moutons continueront à fréquenter Face de bouc.                                                          Mon lardon a fait caca tout vert.       JJ-ai mes ragnagnas.
Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :