Données personnelles : les États-Unis, une sphère d’insécurité ?

Des dizaines de pages de conclusions. Un document-fleuve, mais d’une importance cruciale, traitant de la capacité pour les entreprises américaines à aspirer les données des européens pour les retraiter outre-Atlantique. Next INpact vous propose une explication de cette affaire opposant à l’origine un petit Poucet, Maximillian Schrems, à l’ogre Facebook.

Pour comprendre l’enjeu soulevé par ce dossier, il faut remonter à la préhistoire, cette fameuse directive du 24 octobre 1995 relative « à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Avec elle, les transferts de ce pétrole numérique vers les pays qui n’assurent pas « un niveau de protection adéquat à de telles données » sont par défaut interdits. 

Il y a cependant une brèche, celle du pays justifiant d’un label de confiance, celui du safe harbor. En 2000, la Commission européenne avait généreusement estampillé comme tel les États-Unis et ses milliers d’entreprises à l’affut de la donnée européenne : voilà en effet des acteurs qui présentent de solides garanties pour être qualifiés juridiquement de « port sûr », de « sphère de sécurité ». Ils peuvent donc importer ces données sans l’ombre d’un risque pour leurs titulaires, puisque les garanties offertes ici, sont du même ordre là-bas.

Nous caricaturons un peu, car il y tout de même des contraintes. Les entreprises américaines qui s’engagent dans ce programme ont l’obligation de souscrire à un « code de conduite », une démarche d’autocertification où elles s’engagent à informer les personnes sur les finalités de la collecte, le sort des données à des fins marketing outre des obligations de sécurité et d’intégrité, de droit au recours. Évidemment, ces principes peuvent aussi être limités par le pays hôte notamment pour des questions de sécurité nationale. De fait, en 2013, 3 200 entreprises américaines avaient signé ce bel engagement.

Snowden, l’avis de pollution dans le port sûr

Problème, depuis 2000, les capacités de surveillance de la NSA, révélées par l’affaire Snowden, ont quelque peu souillé le port sûr de l’Oncle Sam : la décision de Bruxelles est-elle bien toujours d’actualité ? Dans une affaire née en Irlande, l’avocat général de la Cour de justice de l'Union européenne, Yves Bot doute, et pas qu’un peu : « Un certain nombre de révélations ont récemment mis en lumière l’existence de programmes américains de collecte de renseignements à grande échelle. Ces révélations ont jeté le trouble sur le respect des normes du droit de l’Union lors de transferts de données à caractère personnel vers des entreprises établies aux États-Unis et sur les faiblesses du régime de la sphère de sécurité. »

Ce dossier a été lancé dans le ciel européen par un étudiant autrichien. M.Schrems avait intenté une action devant les juridictions irlandaises, avec pour cible Facebook. Pour résumer, il contestait le refus par le Commissaire à la protection des données (la CNIL nationale) d’enquêter sur le stockage par le réseau social de ses données sur le territoire américain. Selon le résumé d’Yves Bot, il a argué que nos alliés « n’offrent aucune protection réelle des données conservées sur le territoire (...) contre la surveillance de l’État. Cela résulterait des révélations faites par M. Snowden à partir du mois de mai 2013 au sujet des activités des services de renseignement américains, et en particulier de celles de la National Security Agency.»

Si la CNIL irlandaise avait repoussé sa demande, c'est parce qu'il n’apportait aucune preuve que la NSA ait bien accédé à ses données. Surtout, la décision de la Commission européenne fait écran : si Bruxelles nous dit que les États-Unis sont un safe harbor, alors c’est un safe harbor.

La Haute Cour de justice irlandaise avait par la suite préféré faire porter ce dossier devant la Cour de justice de l’Union européenne. Certes, l’intervention des autorités américaines peut se justifier par des impératifs de sécurité nationale et la prévention de la criminalité grave, mais « la NSA et d’autres organes similaires [ont] commis des excès considérables. Si la Foreign Intelligence Surveillance Court, qui intervient dans le cadre de la loi de 1978 sur la surveillance des services de renseignement étrangers, exerce une supervision, la procédure devant elle serait toutefois secrète et non contradictoire. De plus, outre le fait que les décisions relatives à l’accès aux données à caractère personnel seraient prises sur le fondement du droit américain, les citoyens de l’Union n’auraient aucun droit effectif d’être entendus sur la question de la surveillance et de l’interception de leurs données ». Voilà donc les griefs, toujours résumés par Yves Bot, qui poursuit : « une fois que les données à caractère personnel sont transférées aux États-Unis, la NSA ainsi que d’autres agences de sécurité américaines telles que le Federal Bureau of Investigation (FBI) peuvent y accéder dans le cadre de la surveillance et d’interceptions de masse indifférenciées ».

On est ainsi bien loin du sacro-saint principe de proportionnalité qui pilote bon nombre de législations raisonnées sur le traitement des données personnelles.

Suite à cette transmission, la CJUE se doit désormais de déterminer si oui ou non les États européens sont toujours liés par la constatation faite en 2000 par Bruxelles, ou bien s’ils pouvaient s’en défaire. Dans ce cas, revient-il aux CNIL de chaque État de mener à bien leur propre enquête, sous l’aiguillon du droit au respect de la vie privée et à la protection des données à caractère personnel ?

L’attitude très frileuse de la Commission européenne

La CJUE n’a pas encore rendu son arrêt, attendu dans les mois à venir, mais les conclusions de l’avocat général rendues hier sont précieuses (notre résumé). Elles révèlent ainsi que la Commission européenne s’est montrée extrêmement prudente à l’idée de voir fructifier la plainte de M. Schrems, alors qu’elle n’a eu de cesse de dénoncer en façade la politique de surveillance américaine.

Lors de l’instruction, elle a par exemple considéré que le réexamen de la décision de 2000 (dite 2000/520) relevait de sa seule compétence, non des CNIL européennes. En outre, selon la synthèse de M.Bot, « M. Schrems n’aurait pas avancé d’arguments spécifiques donnant à penser qu’il courrait un risque imminent de subir des dommages graves en raison du transfert de données entre Facebook Ireland et Facebook USA. Au contraire, en raison de leur nature abstraite et générale, les inquiétudes exprimées par M. Schrems à propos des programmes de surveillance mis en œuvre par les agences de sécurité américaines seraient identiques à celles qui ont conduit la Commission à entamer le réexamen de la décision 2000/520 ». Bref, pas d’empressement surtout que le safe harbor est en phase de renégociation depuis plusieurs mois.

L’indépendance des CNIL nationales

L’analyse n’est absolument pas partagée par l’avocat général : la constatation faite en 2000 par la Commission « ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle (...) Si les autorités nationales de contrôle sont saisies dans le cadre de plaintes individuelles, cela ne les empêche pas, selon nous, en vertu de leurs pouvoirs d’investigation et de leur indépendance, de se faire leur propre opinion sur le niveau général de protection assuré par un pays tiers et d’en tirer les conséquences lorsqu’elles statuent sur des cas individuels ».

Cette sacro-sainte indépendance des CNIL est d'ailleurs suggérée par la directive de 1995 : « l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel ». Ou par la jurisprudence de la CJUE « cette indépendance exclut notamment toute injonction et toute autre influence extérieure sous quelque forme que ce soit, qu’elle soit directe ou indirecte, qui seraient susceptibles d’orienter leurs décisions et qui pourraient ainsi remettre en cause l’accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel. »

Bref, les gardiennes des données personnelles doivent pouvoir agir sans entrave, « leurs pouvoirs d’intervention doivent demeurer entiers même lorsque la Commission a adopté une décision ».  De plus, « si les autorités nationales de contrôle étaient liées de manière absolue par les décisions adoptées par la Commission, cela limiterait inévitablement leur totale indépendance. »

Si récapitule sa position : d’un côté, les États membres se doivent d’appliquer les décisions de la Commission européenne, mais ils peuvent, notamment via les CNIL, pouvoir mener des investigations pour jauger les traitements vers l’étranger, et contrôler leur adéquation à la directive de 95. Il épingle du coup le Commissaire irlandais à la protection des données : l’interprétation du droit de l’Union « qui reposerait sur une présomption irréfragable que les droits fondamentaux seront respectés (…) doit être considérée comme étant incompatible avec l’obligation des États membres d’interpréter et d’appliquer le droit dérivé de l’Union d’une manière conforme aux droits fondamentaux ». En conséquence, la décision de 2000 n’est qu’une présomption « réfragable », destinée à lever le principe de l’interdiction d’exportation des données personnelles. Elle n'est pas faite pour empêcher sa remise en cause, par qui parviendrait à démontrer qu’il y a des défaillances dans la tuyauterie.

La décision safe harbor de Bruxelles vs les pouvoirs des CNIL

Le dossier Schrems a occasionné une interprétation divergente de la décision de 2000. Explications : l’un de ses articles ouvre en effet aux autorités de protection nationale une série de voies pour agir malgré tout. C’est l’hypothèse « où il est fort probable que les principes sont violés; où il y a tout lieu de croire que l’instance d’application concernée ne prend pas ou ne prendra pas en temps voulu les mesures qui s’imposent en vue de régler l’affaire en question; où la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves; et où les autorités compétentes des États membres se sont raisonnablement efforcées, compte tenu des circonstances, d’avertir l’organisation et de lui donner la possibilité de répondre » (article 3 paragraphe 1, sous b de la décision de 2000).

Pour la Commission européenne, les pouvoirs des CNIL seraient uniquement limités à ces cas manifestement flagrants. L’appréciation est balayée par l’avocat général de la CJUE : « Comme l’ont indiqué, en substance, les gouvernements belge et autrichien lors de l’audience[cette] issue de secours (….) est tellement étroite qu’elle est difficile à mettre en pratique. Elle exige des critères cumulatifs et place la barre trop haut ». Pire, droit de l’Union sur les cuisses, il pense que la Commission n’avait surtout pas la compétence « de restreindre les pouvoirs des autorités nationales de contrôle » par le biais de son constat.

Ainsi, quoi qu’en dise Bruxelles, « pour assurer une protection appropriée des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, les autorités nationales de contrôle doivent être habilitées, en cas d’allégations faisant état de violations de ces droits, à mener des enquêtes. Si, à l’issue de telles investigations, ces autorités considèrent qu’il existe dans un pays tiers couvert par une décision d’adéquation des indices sérieux d’atteinte au droit des citoyens de l’Union à la protection de leurs données à caractère personnel, elles doivent pouvoir suspendre le transfert de données vers le destinataire établi dans ce pays tiers ». Pour Bort, la décision de la Commission européenne ne fait donc pas écran, la CNIL irlandaise aurait dû pouvoir enquêter suite à la plainte de M. Schrems.

La décision de la Commission européenne est datée

il y a une autre difficulté très juridique. Normalement, lorsque la CJUE est appelée à examiner la légalité d’une décision, elle doit se placer à la date où celle-ci a été prise, soit ici en 2000. Yves Bot considère qu’il est désormais nécessaire de faire évoluer cette jurisprudence : en effet, « une telle règle conduirait sinon à ce que, plusieurs années après l’adoption d’une décision d’adéquation, l’appréciation de validité à laquelle la Cour doit procéder ne puisse prendre en compte des événements qui se sont produits ultérieurement. »

Cette règle verserait donc dans l’absurdité, en interdisant de prendre en compte de nouveaux évènements survenus dans les 15 ans suivantes. Pour la contourner, Yves Bot use d'une délicieuse dextérité juridique : la Commission européenne aurait dû réévaluer régulièrement sa décision initiale et « si, à la suite de nouveaux événements intervenus entre-temps, la Commission ne modifie pas sa décision, c’est qu’elle confirme implicitement, mais nécessairement, l’appréciation effectuée initialement. Elle réitère ainsi son constat selon lequel le pays tiers concerné assure un niveau de protection adéquat aux données à caractère personnel transférées. Il revient [donc] à la Cour d’examiner si ce constat continue à être valable malgré les circonstances intervenues postérieurement ». 

Les États-Unis n’offrent pas un niveau de protection adéquat

En attendant l'arrêt de la CJUE, Yves Bot dresse un sombre état des lieux. En quête d’une analyse d’ensemble de la législation américaine par la Commission européenne, il revient bredouille. Alors qu’en Europe, « prévaut la conception selon laquelle un dispositif de contrôle externe sous la forme d’une autorité indépendante », outre-Atlantique, les agences de sécurité ont la possibilité de butiner les données personnelles des Européens stockées chez Facebook, lequel n’a pas la possibilité de s’y opposer. En face, les citoyens de l’Union, eux, n’ont aucun droit au recours dans ces traitements, pas de protection juridique.

Ces constats ne sont pas nés de son imagination fertile, mais des propos de la Commission elle-même. En 2013, elle a dégommé les programmes de surveillance américains, regrettant qu' « il n'existe, en outre, aucune possibilité, que ce soit pour les personnes concernées de l'UE ou des États-Unis, d'obtenir l'accès, la rectification ou la suppression de données ou d'exercer des voies de droit administratives ou judiciaires si, dans le cadre des programmes de surveillance des États-Unis, des données à caractère personnel les concernant sont collectées et traitées ultérieurement. »

Yves Bot devine donc non seulement une « ingérence extrêmement sérieuse » des autorités américaines, mais en plus une ingérence totalement disproportionnée, car non bordée par des dispositions claires : « l’accès aux données à caractère personnel transférées dont disposent les services de renseignement américains couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données transférées, y compris le contenu des communications, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif d’intérêt général poursuivi. »

Il parle aussi d'une « surveillance massive et non ciblée », « disproportionnée par nature » qui constitue « une ingérence injustifiée dans les droits garantis » par la Charte. Avec un bilan peu glorieux : pourquoi considérer les États-Unis comme une sphère de sécurité alors que ce pays s’autorise ce que nous, Européens, nous nous interdisons ? C’est donc un sec réquisitoire contre la décision de la Commission européenne, qui non seulement est allée au-delà des limites imposées par le droit de l’Union, mais n’a pas tiré les conséquences de ses propres constats émis lors des révélations Snowden. Une passivité fautive : « La Commission aurait dû suspendre l’application de la décision 2000/520. »

La Commission s’est évidemment défendue, expliquant qu’elle négocie actuellement avec les États-Unis pour réformer la sphère de sécurité. D’ailleurs, pas plus tard que le 8 septembre, Bruxelles a annoncé la finalisation d’un accord entre l'Union européenne et les États-Unis relatif à la protection des données à caractère personnelle. Ce document, secret, prévoierait la possibilité pour les citoyens européens d’agir devant les tribunaux américains. Il doit toutefois encore être avalisé par le Congrès pour aboutir.

Pour l’avocat général de la CJUE, c’est sans doute très bien, mais d’un, la Commission ne s’est pas montrée très regardante dans le passé, et de deux, « dans l’intervalle, les transferts de données à caractère personnel vers les États-Unis doivent pouvoir être suspendus à l’initiative des autorités nationales de contrôle ou à la suite de plaintes déposées auprès d’elles ». Il est donc urgent d’arrêter l’incendie, même si des mesures antifeu sont négociées calmement. Et dernier argument imparable : « Si la Commission a décidé d’entamer des négociations avec les États-Unis, c’est bien que, au préalable, elle a considéré que le niveau de protection assuré par ce pays tiers n’était plus adéquat ».

Au final, l’avocat général a conclu que les CNIL nationales devaient pouvoir enquêter sur le niveau de protection d’un pays tiers, ici les États-Unis, et au besoin suspendre les flux de transferts en cas de risque. Dans tous les cas, la décision de 2000 la Commission européenne doit être considérée comme invalide car elle vient labelliser une sphère qui est tout sauf de sécurité : « l’existence d’une dérogation qui permet d’une manière aussi générale et imprécise d’écarter les principes du régime de la sphère de sécurité empêche par elle-même de considérer que ce régime assure un niveau de protection adéquat aux données à caractère personnel qui sont transférées aux États-Unis depuis l’Union ». Sans surprise, ses conclusions ont été applaudies par la Quadrature du Net.

La CJUE est libre de suivre ou non ces conclusions

Dans son arrêt attendu dans plusieurs mois, la Cour est évidemment libre de les suivre, ou non. L’alternative est douloureuse : soit la sphère de sécurité est percée, soit elle est validée à l'aulne des négociations en cours.

Si la Cour valide malgré tout, son message serait aussi celui d’un blanc-seing délivré sur des opérations de surveillance potentiellement massives. Si elle remet en cause, les autorités de contrôle européennes seraient appelées à agir au plus vite afin de remuscler leur rôle face aux mastodontes américains. Ceux-ci pourraient être incités à gérer par contrat une partie des bugs dénoncés (les BCR, biding corporate rules). Les conséquences philosophiques et juridiques d’un tel scénario pourraient être aussi économiques , à savoir l'incitation forte des acteurs à relocaliser en Europe, des serveurs de traitement des données personnelles. Le dossier devrait nécessairement intéresser les services fiscaux, en quête de leviers pour reterritorialiser d’épais bénéfices.