La Cour de justice de l’Union européenne (CJUE) a décidé, mardi 6 octobre, de suspendre l’accord « Safe Harbor » qui encadre l’utilisation des données des internautes européens par de nombreuses entreprises américaines, dont les géants du Web.

Pour la Cour, les autorités de protection des données personnelles doivent conserver leur pouvoir de contrôle et de sanction sur la manière dont les données personnelles des Européens sont traitées. Les juges ont estimé que la mise à disposition des données personnelles des Européens aux agences de renseignement américaines portait « atteinte au contenu essentiel du droit fondamental au respect de la vie privé ».

La Cour de Luxembourg pointe également le fait que les citoyens européens, par définition, ne disposent d’aucun recours pour protester contre l’utilisation de leurs données personnelles aux Etats-Unis.

Les juges écornent enfin sévèrement la Commission, qui a noué l’accord « Safe Harbor » avec les Etats-Unis :

« La Commission était tenue de constater que les États-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union. La Cour relève que la Commission n’a pas opéré un tel constat. »

Les juges de la CJUE ont suivi le réquisitoire de l’avocat général : pour la Cour, la surveillance exercée par les agences de renseignement américaine et révélée par les documents Snowden rend caduc cet accord. Ce dernier prévoit en effet que les données des Européens peuvent être transférées depuis le vieux continent vers les Etats-Unis tant qu’une « protection adéquate », c’est-à-dire en ligne avec celle qu’accorde le droit européen, est appliquée à ces données.

La surveillance américaine en procès

La procédure a débuté en Irlande, le pays où se trouve le siège européen de Facebook. Un étudiant autrichien, Max Schrems, avait déposé une plainte contre le réseau social, dans la foulée de la révélation par Edward Snowden du programme Prism, qui aménage aux agences de renseignement américaines un accès privilégié aux données de leurs utilisateurs, y compris celles des Européens. Pour lui, cette violation manifeste de ses droits, protégés par les textes européens, devait être sanctionnée par l’autorité irlandaise de protection des données.

Cette dernière a refusé de se pencher sur son cas, citant les conditions très restrictives de l’accord « Safe Harbor ». L’affaire, après la Haute cour irlandaise, est arrivée devant la CJUE, qui a donc dû se prononcer sur la compatibilité de cet accord avec le droit européen en matière de données personnelles.

Par la voix de sa représentation auprès de l’Union européenne, les Etats-Unis avaient, avant même la décision de la Cour, nié pratiquer une surveillance massive des données européens et affirmé que les outils à disposition de leurs agences de renseignement étaient utilisés avec mesure.

Après la décision sur le « droit à l’oubli » du printemps 2014, c’est la deuxième fois en peu de temps que la justice de l’Union européenne s’immisce dans les affaires des géants du Net. La décision rendue ce mardi pourrait cependant avoir des conséquences encore plus grandes, dans un monde où les données sont, selon l’expression consacrée, « le nouveau pétrole ».

L’annulation du « Safe Harbor » devrait en effet contraindre Google, Facebook et consorts – environ 4 000 entreprises américaines présentes en Europe y ont recours – à davantage conserver en Europe les données de leurs utilisateurs européens et donc à limiter leurs marges de manœuvre en matière d’exploitation de ces données.

Martin Untersinger

Que prévoit l’accord Safe Harbor? L’exemple de la Suisse

Signature d’un cadre bilatéral pour la protection des données entre la Suisse et les États-Unis

Berne, 09.12.2008 – Dans le cadre du Forum de coopération sur le commerce et les investissements Suisse – Etats-Unis, le Préposé fédéral à la protection des données et à la transparence a signé aujourd’hui un échange de lettre établissant un «U.S.-Swiss Safe Harbor Framework». Ce cadre bilatéral pour la protection des données simplifie le transfert de données personnelles d’entreprises établies en Suisse vers des entreprises aux Etats-Unis. Il facilite non seulement les procédures administratives pour les entreprises, mais renforce également les droits en matière de protection des données des personnes concernées.

Selon la Suisse, la législation des USA n’offre pas une protection des données adéquate. Ceci implique que les entreprises établies en Suisse ne peuvent transmettre des données personnelles à leurs partenaires américains que sur la base d’accords avec ceux-ci soumis pour examen au Préposé fédéral à la protection des données (PFPDT). Les données personnelles peuvent ensuite être transmises vers l’entreprise aux USA.

L’«U.S.-Swiss Safe Harbor Framework» simplifie ce processus. A l’avenir, les entreprises américaines qui s’enregistreront pour l’«U.S.-Swiss Safe Harbor Framework» auprès du Département du Commerce américain s’engageront à en respecter les principes. Garantissant un niveau de protection adéquat, ce cadre facilite la transmission des données personnelles entre les entreprises en Suisse et celles enregistrées aux Etats-Unis. La Communauté européenne dispose d’un régime similaire depuis 2000.

Ce régime offrira l’avantage aux entreprises suisses de ne devoir ni négocier un contrat avec un partenaire américain enregistré, ni en informer le PFPDT. Les droits des personnes concernées seront également renforcés, le «U.S.-Swiss Safe Harbor Framework» prévoyant des instances spéciales de règlement des différends en cas de violation de droits en matière de données personnelles. De plus, la «Federal Trade Commission» pourra intervenir aux USA en cas de violations sérieuses et répétées et prendre des mesures contre les entreprises enregistrées.

Avec le «U.S.-Swiss Safe Harbor Framework», le PFPDT et le Secrétariat d’Etat à l’économie (SECO) ont créé avec les Etats-Unis une base qui, d’une part, facilite la transmission des données personnelles entre les deux pays et, d’autre part, renforce les droits de protection des personnes concernées. Ce nouveau cadre entrera en vigueur prochainement.

Art. 13 de la Constitution suisse sur la protection de la sphère privée:

1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.
2 Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent.