Données personnelles : le point sur l’après Safe Harbor

Comment les entreprises américaines vont-elles pouvoir continuer à aspirer les données personnelles des citoyens européens ? Alors que l’avis des CNIL européennes est attendu dans la journée, Next INpact fait le point.

 Qu’est-ce que le Safe Harbor ?

Le 26 juillet 2000, la Commission européenne signait un document fondamental pour le développement du numérique en Europe et surtout aux États-Unis.

Au regard du droit européen, spécialement à l’article 25 de la directive 95/46 CE, un transfert de données à caractère personnel est possible si et seulement si « le pays tiers en question assure un niveau de protection adéquat ». En clair, si des données personnelles sont butinées sur le dos de citoyens français puis transférés au hasard, outre-Atlantique, le pays cible doit offrir un niveau de protection similaire à celui en vigueur en France.

Durant cet été 2000, donc, Bruxelles avait constaté que les États-Unis offraient toutes les garanties d’une belle et solide sphère de sécurité - un Safe Harbor – parfaitement « adéquate » au niveau du respect de protection de la vie privée en vigueur ici. Cette déclaration n’offrait certes pas un blanc-seing général à tous les acteurs : pour qu’une entreprise américaine puisse s’abriter sous cette bulle, il lui fallait en dernière étape répondre à une série de principes, via un processus d’autocertification. Une liste de plus de 3 000 organisations profitaient de ce parapluie, comme on pouvait le voir sur safeharbor.export.gov. Seulement, cette liste est aujourd’hui désactivée : et pour cause, la Cour de justice de l’Union européenne a invalidé la pierre angulaire maçonnée par la Commission européenne.

Pourquoi la justice européenne a invalidé le Safe Harbor ?

Mai 2013, Edward Snowden ouvre le robinet de ses révélations : la NSA, agence de sécurité américaine a obtenu avec le programme PRISM un accès libre aux données de masse stockées sur les serveurs situés aux États-Unis.

En 2013 toujours, armé de ces révélations, un étudiant autrichien en droit, Maximilien Schrems, pointe un doigt accusateur sur Facebook devant la CNIL irlandaise, là où le géant des réseaux sociaux a son siège européen. Seul souci, le Commissaire à la protection des données refuse d’enquêter sur le transfert de ses informations personnelles aux États-Unis. Il se justifie par un manque de preuve et surtout le rôle d’écran joué par la décision de 2000 de la Commission européenne.

Ce refus est par la suite attaqué devant les juridictions nationales qui transmettent la patate chaude à la Cour de justice européenne. Aiguillée par les conclusions de l’avocat général Yves Bot, la Cour de justice donne raison à ce David contre Goliath. Le 6 octobre 2015, la CJUE décapite le Safe Harbor.

Pourquoi ? Pour justifier cet arrêt fondamental, l’un des plus importants de ces dernières années, la Cour n’a pas eu à chercher bien loin. Déjà, la décision de 2000 souffrait de gros angles morts qui avaient, à tout le moins, échappé à l’attention de la Commission européenne. Par exemple, il était prévu que la bulle pouvait être crevée par les autorités américaines dès lors que celles-ci témoigneraient d’exigences « relatives à la sécurité nationale, l'intérêt public et le respect des lois des États-Unis ». Peut-on imaginer plus belle et large autoroute pour cuisiner librement le flux de datas venant du vieux continent ?

La CJUE s’est aussi appuyée sur les constats faits par la Commission européenne elle-même, égrainés tout au long des révélations Snowden. Un exemple ? Dans une importante communication du 21 novembre 2013, Bruxelles avait affirmé que « toutes les entreprises participant au programme PRISM, qui permettent aux autorités américaines d'avoir accès à des données stockées et traitées aux États-Unis, semblent être certifiées dans le cadre de la sphère de sécurité. »

La même institution dressait ce bilan, sans rougir : « la sphère de sécurité est donc devenue l'une des voies par lesquelles les autorités américaines du renseignement ont accès à la collecte des données à caractère personnel initialement traitées dans l'UE. »

La directive 95/46 CE indique que « lorsque la Commission constate (…) qu'un pays tiers n'assure pas un niveau de protection adéquat (…), les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause ». Seulement, après les révélations Snowden, la passivité a été la règle de conduite de l’ensemble des acteurs autour de la table.

Sur sa chaise, Bruxelles n’a pas tiré les suites logiques à ses conclusions, elle qui pourtant avait parfaitement conscience que les données personnelles des Européens faisaient l’objet d’une surveillance de masse outre-Atlantique.

Les autorités de contrôle ne sont pas davantage en reste. Aux CNIL européennes qui estimaient trop facilement que le Safe Harbor faisait écran à leur intervention, la CJUE leur a opposé que cette étiquette n’assurait qu’une présomption de légalité. Elles auraient donc dû faire leur job, comme on dit, en toute indépendance. Joli coup de griffe à toute inaction fautive.

Quelles ont été les suites de cette invalidation ?

Côté Commission européenne, Věra Jourová, en charge de la justice, a soufflé le chaud, en cachant péniblement le froid. Dans une communication d’octobre 2015, elle assurait qu’un accord sur les questions de principe avait été trouvé avec les États-Unis afin de piloter les suites de cette invalidation. Seulement, le diable était dans les détails : elle indiquait toujours discuter avec ses homologues américains « de la façon de veiller à ce que ces engagements soient suffisamment contraignants pour répondre pleinement aux exigences de la Cour ». Des discussions entamées en 2013, soit bien avant la décision de la CJUE.

Du côté des CNIL européennes, la messe a été dite mi-octobre : les autorités de contrôles, dont la CNIL en France, ont demandé « aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016 ». Avec une guideline claire : « ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes. »

La date butoir du 31 janvier est passée, et maintenant ?

Hier au Parlement européen, en Commission libertés civiles, justices et affaires intérieures (LIBE), la même commissaire Jourová a assuré avoir « travaillé dur pour obtenir des engagements des États-Unis », tout en révélant que les négociations étaient toujours en cours...

La Commission européenne aurait déjà reçu l’engagement écrit de ses homologues d’outre-Atlantique : la NSA n’aura à l’avenir qu’un accès limité, strictement nécessaire et proportionné aux données personnelles transférées depuis l’Europe. En clair, les États-Unis jurent croix de bois, croix de fer, qu’il n’y aura plus de surveillance de masse. La même commissaire suggère l’instauration d’un organe indépendant visant à accueillir les plaintes des futurs Maximilien Schrems. Elle esquisse aussi un possible accord offrant aux potentielles victimes, un véritable droit eu recours, tout en rappelant le rôle des autorités de protections des données personnelles... Ce faisant, elle demande aux Etats-Unis de faire plus d'effort pour parvenir à un accord.

Comme socle juridique, puisqu’un accord international n’est pas possible, tout ce solide édifice ne reposerait que sur un simple échange de lettres signées au plus haut niveau politique.

Ces promesses n’ont pas entièrement satisfait la Commission Libé. Claude Moraes (S & D, UK), son président s’est dit « profondément préoccupé sur la valeur réelle de ces propositions », assurant que le Parlement européen continuerait à être le « chien de garde » des citoyens.

Maximilien Schrems a quant à lui tourné en dérision les propos de la commissaire européenne, proposant à quiconque de créer une « lettre de confiance », avec un exemple acidulé à l’appui, pastichant une lettre de Barack Obama : « Je voulais juste vous rassurer que tout va bien ici. Nous allons pouvoir souffler ! Merci pour votre confiance et pour continuer à nous envoyer toutes vos données ! »

Why all the fuss? @EU_Justice got signed letters from the US!#SafeHarbor #Datenbrief #LetterOfTrust #LetterGate pic.twitter.com/Zf768GC9z4

— Max Schrems (@maxschrems) 2 Février 2016

Pour sa part, le G29 tiendra une conférence demain de 13 heures où le groupement des CNIL défendra une position uniforme sur les suites à donner à ce dossier.

Quelles sont les alternatives ?

En pratique, les choses se corsent. D’un côté, les entreprises américaines ne s’imaginent pas pouvoir stopper le flux de données personnelles. Cette veine ligaturée serait signe d’une mort numérique pour tous ceux qui s’appuient trop sur ce continent fort de centaines de millions de personnes connectées. De l’autre, la décision de la CJUE a été claire et nette : qu’importe le pragmatisme économique, il y a une faille qui laisse sans droit au recours face à la surveillance de masse en vigueur aux États-Unis. Et cette faille place tous les acteurs du Net dans une forte insécurité juridique, à mille lieues de leurs besoins.

Juridiquement, d’autres outils permettent de combler l’absence de Safe Harbor. Heureusement d’ailleurs, puisque sans eux, ils seraient impossibles de traiter des flux de données personnelles à l’extérieur de l’Europe, en dehors des États-Unis. Il s’agit des clauses contractuelles types, des règles internes ébauchées entre grappes d’entreprises (BCR, Binding Corporate Rules) et in fine, le consentement de la personne, qui ne vaut pas pour la durée mais uniquement pour des transferts ponctuels.

Mais ces solutions alternatives sont-elles bien suffisantes face aux pétaoctets de données personnelles ingurgités aux États-Unis ? Que l’on passe par le Safe Harbor, le consentement de la personne, des règles ou des clauses types, le problème est toujours celui de la collecte massive et indifférenciée, qui n’offre aucune garantie aux citoyens européens. En d’autres termes, peu importe le nombre d’anneaux gastriques sur les intestins des GAFA, le problème reste toujours la station d’épuration pilotée par la NSA.

Pour les acteurs du Net, on pourrait imaginer, outre un redoublement d’effort en faveur du chiffrement, que les entreprises US décident d’installer en masse leurs serveurs en Europe, loin des yeux des autorités nationales. Mais, ce n’est pas si simple : depuis de longs mois, dans le cadre d’une enquête sur un trafic de stupéfiants, Microsoft fait face à une procédure initiée devant la justice new-yorkaise. Celle-ci s’estime en droit d’accéder aux données stockées sur ses serveurs irlandais, étendant mondialement sa juridiction et donc les aptitudes de surveillance.

Lors d’une conférence organisée la semaine dernière à Bruxelles, Max Schrems dressait ce constat : « nous avons un système too big to fail. On sait qu’il y a des pratiques illégales, mais on ne peut pas s’attaquer aux géants du Net. Ils ont gagné un pouvoir tel qu’il est impossible pour la Justice de s’appliquer. »