C’est ce 6 octobre que la Cour de justice de l’Union européenne rendra son arrêt dit Schrems. En jeu ? Tout simplement la possibilité pour les entreprises américaines de continuer à butiner sans nuisance les données personnelles des internautes européens.
C’est sans doute l’une des décisions les plus importantes qui sera rendue par la CJUE en matière de données personnelles. Ce jour, la juridiction installée à Luxembourg dira en substance si oui ou non les États-Unis constituent toujours un « port sûr » ou une « sphère de sécurité ». Ce label de « Safe Harbor » avait été délivré en 2000 par la Commission européenne. Il permet aux entités américaines d’aspirer les données personnelles en Europe pour les traiter outre-Atlantique, de fait comme si elles l’étaient sur notre continent.
L'avocat général en faveur d'une remise en cause du Safe Harbor américain
Ce dossier est né suite à un bras de fer initié par un Autrichien, Maximillian Schrems, avec la CNIL irlandaise, parce que celle-ci considère que la décision de la Commission européenne fait écran. En face, ce particulier, utilisateur de Facebook, estime que les États-Unis n’offrent plus le même niveau de confiance qu’en 2000. Pourquoi ? Car le bulldozer des révélations Snowden a tout labouré sur son passage, apportant un éclairage plus sombre sur les capacités intrusives de la NSA.
L’avocat général Yves Bot, dont les conclusions sont destinées à éclairer en toute indépendance la CJUE, a déjà tranché en faveur de Schrems. D’un, le Safe Harbor n’interdirait pas aux CNIL nationales de mener à bien des enquêtes à l’encontre d’un traitement non européen. De deux, la décision de la Commission européenne serait invalide, considérant que les Européens ne disposent d’aucun recours effectif, l’ingérence dans leur vie privée est jugée disproportionnée et aucune autorité n’est là pour surveiller les surveillants (voir notre point complet).
Bruxelles, les USA et les géants de l'électronique en faveur du maintien
Ces conclusions ont donné lieu à une pluie de critiques. Hier, par exemple, le gouvernement américain les a jugées truffées d’erreurs, invitant la Cour à s’en défaire. « Les États-Unis ne font pas et n'ont pas engagé un dispositif de surveillance aveugle, et notamment des citoyens ordinaires européens. Le programme Prism, mis en cause dans ces conclusions, est en réalité dirigé contre des cibles bien particulières dans le cadre du renseignement étranger, en étant dûment autorisé par la loi, en stricte conformité avec nombre de contrôles et de restrictions. »
Surtout, les autorités américaines rappellent qu’elles sont engagées dans un processus avec la Commission européenne pour réformer justement cette sphère de sécurité. Ce chantier a été bruyamment annoncé par Bruxelles voilà quelques jours, la Commission promettant un droit au recours des Européens à l’égard des traitements américains. Pour mémoire, l’avocat général de la CJUE n’a pas pris de pincettes pour fusiller ces rapprochements : « Si la Commission a décidé d’entamer des négociations avec les États-Unis, c’est bien que, au préalable, elle a considéré que le niveau de protection assuré par ce pays tiers n’était plus adéquat. »
Les États-Unis ont des alliés de poids : Digital Europe, le puissant groupement de l’industrie des nouvelles technologies (Apple, Dell, Google, HP, IBM, Microsoft, Intel, etc.) a, dès le 23 septembre, publié un communiqué pour se dire « inquiet des perturbations potentielles des flux des données internationales si la Cour devait suivre ces conclusions ». Ces industriels anticipent également un morcellement du marché européen. On en devine les causes : si chaque CNIL nationale était en capacité d’autoriser ou interdire tel ou tel flux, cela créerait une multitude de brèches et des situations de forum shopping en faveur des pays les moins regardants.
La Commission européenne elle-même est intervenue en amont des conclusions pour dire tout le mal qu'elle pensait d'une remise en cause de sa décision.
L'affaire Schrems, une question de souveraineté numérique
Inversement, l’Institut de la souveraineté numérique, association qui regroupe des personnes comme Bernard Benhamou (ancien délégué interministériel aux usages de l’internet), Didier Renard (président de Cloudwatt), Alix Cazeneuve (conseillère en relations publiques), Laurent Chemla et Me Olivier Iteanu, a de son côté salué ces conclusions.
« En réaffirmant le rôle des autorités nationales de protection des données personnelles vis-à-vis de l’accord Safe Harbor, commente Bernard Benhamou, le secrétaire général de cette association, ces conclusions placent aussi le principe de souveraineté sur les données au cœur de la doctrine européenne ». Dans son communiqué, cette association désireuse de fédérer les acteurs concernés par les mutations numériques ajoute qu’ « au-delà des services existants, la montée en puissance des nouveaux objets connectés et l’évolution des algorithmes de traitement des données en masse (big data), rendent plus nécessaire encore la protection de ces données ».
