Invalidation de l’accord Safe Harbor entre l’UE et les États-Unis sur les données personnelles : la justice européenne contraint les États à se préoccuper (mais trop tard?) de leurs citoyens | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Economie
Le "Safe Harbor" est un accord encadrant l’utilisation des données des internautes européens.
Le "Safe Harbor" est un accord encadrant l’utilisation des données des internautes européens.
©

Vie privée vie publique

Invalidation de l’accord Safe Harbor entre l’UE et les États-Unis sur les données personnelles : la justice européenne contraint les États à se préoccuper (mais trop tard?) de leurs citoyens

La Cour de justice de l’Union européenne (CJUE) a suspendu mardi 6 octobre le "Safe Harbor", un accord encadrant l’utilisation des données des internautes européens par de nombreuses entreprises américaines, dont les géants du Web. Dans cette affaire, la Cour du Luxembourg semble se substituer aux autorités publiques.

Fabrice  Mattatia

Fabrice Mattatia

Ancien conseiller de la secrétaire d'État au numérique, polytechnicien et docteur en droit, Fabrice Mattatia est expert en confiance numérique. Il intervient dans plusieurs universités, dont Paris I Panthéon Sorbonne et La Rochelle, et dans des grandes écoles comme Télécom ParisTech. Il est également l'auteur de nombreux articles de vulgarisation sur le droit et sur les technologies. Il a écrit Traitement des données personnelles et de Internet et les réseaux sociaux (éditions Eyrolles).

 

Voir la bio »

Atlantico : Pour la CJUE, la mise à disposition des données personnelles des Européens aux agences de renseignement américaines constituait une "atteinte au contenu essentiel du droit fondamental au respect de la vie privé". Dans quelle mesure les juges européens se sont substitués aux autorités publiques chargées de protéger les données personnelles ? Doit-on y voir une défaillance de la part des Etats, palliée par la CJUE ?

Fabrice Mattatia : Il ne s’agit pas ici d’une défaillance des seuls Etats. En effet, depuis la directive d’octobre 1995, la protection des données personnelles a été harmonisée au niveau de toute l’Union européenne. Tout un mécanisme communautaire a été mis en place, avec des autorités nationales de protection des données (comme la Commission nationale de l’informatique et des libertés – CNIL-  en France), et des pouvoirs accordés à la Commission européenne. Dans cette affaire, la CJUE a justement eu à examiner le fonctionnement de ce mécanisme. En effet, la Commission européenne avait pris en 2000 une décision autorisant le Safe Harbor, estimant que cet accord avec les Etats-Unis était conforme aux protections de données personnelles prévues par le droit européen. Suite aux révélations de Snowden, qui montraient que les données des citoyens transférées aux Etats-Unis en vertu du Safe Harbor n’étaient en fait pas suffisamment protégées, un étudiant autrichien, Max Schrems, avait déposé un recours contre l’usage du Safe Harbor par Facebook devant la CNIL irlandaise, Facebook ayant son siège européen en Irlande. Celle-ci a rejeté sa plainte, au motif que le Safe Harbor avait été validé par la Commission européenne. La CJUE était donc saisie de la question suivante : la validation du Safe Harbor par la Commission européenne en 2000 empêche-t-elle les CNIL d’enquêter sur sa mise en œuvre ?

La CJUE vient donc de répondre par la négative : il est bien dans les pouvoirs des CNIL de contrôler la protection de la vie privée des citoyens européens. Si la CJUE adresse des reproches à quelqu’un, c’est bien à la Commission, qui non seulement n’avait pas la compétence pour empêcher dans sa décision de 2000 les CNIL d’exercer leurs missions, mais qui de plus aurait dû, suite aux révélations sur le programme PRISM, en tirer elle-même les conséquences sur la caducité des garanties du Safe Harbor.

Comment l'Union européenne peut-elle reprendre la main sur la protection des données personnelles ? 

Le hasard faisant bien les choses, l’Union européenne est justement en train de finaliser un nouveau règlement sur la protection des données personnelles. Ce nouveau texte remplacera la directive de 1995 et en France la loi Informatique et Libertés. Il aborde notamment des points que le droit actuel, élaboré dans les années 1990, et encore imprégné du concept d’un traitement des données bien circonscrit, appréhende avec difficulté : éparpillement des données dans le cloud computing, généralisation de la sous-traitance, montée en puissance du Big Data… Lancé en 2012 par la Commission européenne, le projet a été amendé en 2014 par le Parlement européen, et en juin 2015 par les gouvernements. Nous en sommes actuellement à la phase de négociation du trilogue entre la Commission, le Parlement et le Conseil, pour arriver à un texte de compromis, que la présidence de l’Union espère voir aboutir d’ici la fin de l’année.

Ce texte prévoit notamment des sanctions très alourdies en cas de violation des données personnelles : alors qu’en France actuellement la CNIL voit ses sanctions plafonnées à 150.000 €, et le juge pénal à 300.000 €, ce qui n’est aucunement dissuasif pour les géants du web, la version du Parlement européen prévoit une amende de 5% du chiffre d’affaires mondial de l’entreprise fautive. C’est un montant du même ordre que les amendes en droit de la concurrence, ou que celles infligées récemment par les Etats-Unis à des entreprises françaises. A ce niveau de sanction, l’Europe pourrait se faire respecter. Evidemment, de forts lobbies sont à l’œuvre à Bruxelles pour faire baisser ce montant. 

Le Parlement européen a également souhaité ajouter un article « anti-Patriot Act » qui sanctionnerait la divulgation des données personnelles de citoyens européens à des administrations étrangères, hors accord de coopération judiciaire. Là aussi, les lobbies s’activent et l’adoption de cet article n’ira pas de soi. Mais si l’Europe demeure ferme et suit le Parlement européen sur ces deux propositions, sa crédibilité en sortira affermie.

Qu'est-ce que cette décision concrètement va changer pour les américains et également les internautes français ?

D’un point de vue strictement juridique, la CJUE ayant invalidé le Safe Harbor, toutes les entreprises qui se reposaient sur cet accord pour transférer des données personnelles aux Etats-Unis devraient en théorie cesser ces transferts, sous peine de se trouver dans l’illégalité. En pratique, la directive de 1995 prévoit d’autres procédures pour encadrer l’exportation des données : l’adoption de règles internes d’entreprise garantissant une protection adéquate, ou le recours à des clauses contractuelles types approuvées par la CNIL et engageant le destinataire des données, sans oublier dans les cas les plus complexes la constitution d’un dossier de demande d’autorisation auprès de la CNIL. Les entreprises concernées devront donc recourir à l’un de ces instruments.

Qu'est-ce que ce conflit judiciaire peut nous dire sur de possibles négociations d'un "Safe Harbor 2" ?

La priorité européenne devrait être la finalisation du règlement sur les données personnelles, puisqu’il constituera le cadre dans lequel un accord Safe Harbor 2 pourra éventuellement être négocié. Un nouveau texte devrait prendre en compte les critiques émises par la CJUE : le fait que les autorités américaines peuvent accéder aux données personnelles transférées aux Etats-Unis « au-delà de ce qui est strictement nécessaire et proportionné à la protection de la sécurité nationale », qualifié par la CJUE d’ « atteinte au contenu essentiel du droit fondamental au respect de la vie privée », et l’absence de voie de recours pour les citoyens européens concernés, « atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective ».

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !