Données personnelles : coup de chaud sur le Safe Harbor

« Un certain nombre de révélations ont récemment mis en lumière l’existence de programmes américains de collecte de renseignements à grande échelle. Ces révélations ont jeté le trouble sur le respect des normes du droit de [l’Union européenne] lors de transferts de données à caractère personnel vers des entreprises établies aux États-Unis […] ».

Yves Bot donne le ton en introduction du rapport présenté par ses soins le 23 septembre 2015 dans l’affaire C-362/14, qui oppose un citoyen autrichien au Data Protection Commissioner, l’autorité irlandaise chargée de la protection des données personnelles.

Les conclusions de l’avocat général de la Cour de Justice de l’Union européenne (CJUE) n’ont que valeur de recommandation. Elles doivent fournir des éclairages aux juges dont le verdict est attendu à une date ultérieure.

Mais de quel verdict est-il question ? La CJUE a été sollicitée par la Haute Cour de Justice d’Irlande pour déterminer si le Data Protection Commissioner était habilité, malgré les réglementations établies par Bruxelles, à conduire une investigation sur la mise en oeuvre du Safe Harbor.

Traduit en français par « Sphère de sécurité », cet ensemble de principes de protection des données personnelles négocié à la fin des années 90 entre les autorités américaines et la Commission européenne est entériné par une décision du 26 juillet 2000 (document PDF, 41 pages).

L’objectif principal est de permettre aux entreprises établies aux États-Unis de certifier qu’elles respectent la législation de l’Espace économique européen, en échange de quoi elles obtiennent l’autorisation de transférer les données qu’elles y collectent vers les USA.

Et vint la NSA

L’accord ne doit, en théorie, rester applicable qu’aussi longtemps que le pays de destination des données en assure une protection adéquate. Aux États-Unis, cet engagement a été mis à mal par les révélations d’Edward Snowden.

L’Autrichien Maximillian Schrems, docteur en droit, s’est engouffré dans la brèche… en concentrant sa plainte sur Facebook. Il exige que la filiale européenne du réseau social – implantée en Irlande – cesse de transférer les données des citoyens européens, dans la mesure où les U.S. n’assureraient pas un niveau de protection adéquat, notamment au regard du programme PRISM permettant à la NSA d’accéder librement aux informations stockées sur des serveurs situés sur le territoire américain.

Les autorités irlandaises avaient rejeté la plainte de Maximillian Schrems en s’appuyant sur la base juridique établie par la décision 2000/520/CE du 26 juillet 2000. Mais pour Yves Bot, ladite décision est aujourd’hui « invalide » : les citoyens de l’UE ne bénéficient pas d’une protection juridictionnelle effective sous le régime du Safe Harbor.

L’avocat général appuie son propos : à défaut de garanties suffisantes, la mise en oeuvre de la décision ne répond par aux exigences requises par la directive et par la Charte européenne des droits de l’homme. Pour lui, l’accès aux données par les services de renseignement constitue « une ingérence dans le droit au respect de la vie privée et dans le droit à la protection des données à caractère personnel ».

Et d’estimer que les CNIL européennes devraient conserver leurs pleins pouvoirs, même pour examiner un traitement de données transférées aux États-Unis en vertu d’une décision de Bruxelles.

Crédit image : voyager624 – Shutterstock.com