Coup de tonnerre ! L’avocat général de la Cour de justice de l’Union européenne (CJUE) estime que le « Safe Harbor » négocié à la fin des années 90 entre la Commission européenne et les États-Unis est aujourd’hui « invalide », du fait notamment des révélations d’Edward Snowden. Son avis ne lie cependant pas les juges, dont la décision n'interviendra probablement pas avant plusieurs semaines.
Voilà maintenant plus de quinze ans que les États-Unis sont considérés par Bruxelles comme un Safe Harbor, une « sphère de sécurité » en matière de données personnelles. Au travers d’une décision en date du 26 juillet 2000, la Commission européenne a effectivement estimé que ce pays offrait « un niveau adéquat de protection », autorisant ainsi les transferts de données personnelles collectées sur le sol européen vers des serveurs situés sur le territoire des États-Unis, où celles-ci sont conservées.
Saisie par l’Autrichien Max Schrems, fer de lance de nombreuses procédures à l’encontre de Facebook, la Cour de justice de l’Union européenne a toutefois été amenée à se pencher sur cette décision de la Commission européenne, quelque peu mise à mal après les nombreuses révélations d’Edward Snowden. Ce matin, l’avocat général a même donné un sacré coup de pied dans la fourmilière en présentant ses conclusions, attendues depuis plusieurs mois maintenant.
Trop de violations de droits fondamentaux des citoyens européens
Selon Yves Bot, la décision de Bruxelles est tout simplement « invalide » ! « Il résulte des constatations effectuées tant par la High Court of Ireland que par la Commission elle-même que le droit et la pratique des États-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées, sans que ces derniers bénéficient d’une protection juridictionnelle effective. Ces constats factuels démontrent que la décision de la Commission ne contient pas suffisamment de garanties. En raison de ce défaut de garanties, cette décision a été mise en œuvre d’une manière qui ne répond pas aux exigences requises par la directive et par la Charte [européenne des droits de l’homme] », résument les services de la CJUE.
Les révélations sur l’ampleur de la surveillance opérée par la NSA ont manifestement pesé lourd dans la balance. L’avocat général estime en effet que « l’accès dont disposent les services de renseignement américains aux données transférées est constitutif d’une ingérence dans le droit au respect de la vie privée et dans le droit à la protection des données à caractère personnel ». Face à un « tel constat de violation des droits fondamentaux des citoyens de l’Union, la Commission aurait dû, selon l’avocat général, suspendre l’application de la décision ».
Les CNIL européennes devraient conserver leur autorité selon l'avocat général
Outre ce cinglant argumentaire, Yves Bot a donné son avis sur la réponse que devrait apporter – à ses yeux – la Cour de justice à la question préjudicielle soulevée par Max Schrems. Son analyse des textes européens le conduit à affirmer que l’existence d’une décision de la Commission sur le Safe Harbor « n’a pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat aux données à caractère personnel transférées et, le cas échéant, de suspendre le transfert de ces données ». En clair, cela signifie que la CNIL et ses homologues européennes devraient d’après lui conserver leurs pleins pouvoirs, même s’il s’agit de se pencher sur un traitement de données transférées aux États-Unis en vertu de la décision de Bruxelles.
Restera maintenant à voir si les magistrats de la CJUE suivent les conclusions de l’avocat général, ce qui n’est pas toujours le cas... Le plaidoyer extrêmement clair d’Yves Bot fait en tout cas figure de sérieux avertissement à l’égard de la Commission européenne. Nous reviendrons plus en détail sur ces conclusions dans le cadre d’un article à paraître demain.
