Safe Harbor : un accord invalide pour la justice européenne

JuridiqueLégislationRégulations
cjue-safe-harbor

La Cour de justice de l’Union européenne a tranché : l’accord Safe Harbor est invalide. Quelles conséquences pour Facebook, Google et consorts ?

La décision rendue ce mardi 6 octobre 2015 par la Cour de justice de l’Union européenne (CJUE) pourrait être lourde de conséquences pour les quelque 4 000 entreprises américaines qui transfèrent des données personnelles de citoyens européens vers les États-Unis sous le couvert du Safe Harbor.

Cet accord, négocié à la fin des années 90 entre les autorités américaines et la Commission européenne, avait été entériné par une décision du 26 juillet 2000. Il est aujourd’hui déclaré invalide à plusieurs titres.

La CJUE considère en premier lieu que les États-Unis ne garantissent plus un niveau suffisant de protection des données personnelles : selon les termes du jugement, la sécurité nationale et l’intérêt public prévalent aujourd’hui sur le Safe Harbor.

Les pouvoirs de la CNIL

Les juges pointent du doigt l’ingérence des services américains de renseignement, qui ont accédé aux données en question et les ont exploité « d’une manière incompatible avec les objectifs pour lesquels elles sont transférées », y compris en tenant compte des problématiques de sécurité nationale.

Les citoyens européens concernés n’ont pas ailleurs aucun recours, ni administratif, ni judiciaire, pour accéder aux informations stockées outre-Atlantique et éventuellement les modifier ou les supprimer.

Dans la lignée du réquisitoire formulé le 23 septembre par son avocat général Yves Bot, la CJUE a également réaffirmé « les pleins pouvoirs » des autorités nationales chargées de la protection des données personnelles.

En d’autres termes, la CNIL et ses homologues européennes sont habilitées, au nom de la Charte des droits fondamentaux de l’UE, à examiner « en toute indépendance » le respect, par une entreprise américaine, des dispositions inscrites au Safe Harbor. Et ce malgré l’existence de la décision 2000/530/CE rendue le 26 juillet 2000 par Bruxelles. Elles peuvent ensuite solliciter la CJUE, qui seule a le le pouvoir de déclarer invalide une loi européenne.

Retour en Irlande

Comment en est-on arrivé à ce jugement ? Il faut remonter à cette plainte déposée par Max Schrems contre Facebook.

Cet Autrichien, docteur en droit, exigeait que la filiale européenne du réseau social, implantée en Irlande, cesse de transférer les données des citoyens européens, dans la mesure où les États-Unis n’en assureraient pas une protection adéquate. Et d’évoquer les révélations d’Edward Snowden autour du programme PRISM permettant à la NSA d’accéder librement aux informations hébergées sur des serveurs situés sur le territoire américain.

Estimant ne pas pouvoir se saisir du dossier au regard de la base juridique établie par la décision 2000/530/CE, la Haute Cour de justice d’Irlande avait fait appel à la CJUE pour trancher sur sa compétence.

Il lui appartient désormais, en vertu de la décision du 6 octobre, d’examiner la demande de Max Schrems et de décider si Facebook doit cesser le transfert des données des citoyens européens vers les États-Unis… et par là même en limiter l’exploitation. Un verdict qui pourrait faire tache d’huile sur des « géants du Web » comme Google, Amazon et Microsoft.

Crédit photo : voyager624 – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur