L’accord Safe Harbor qui régit le traitement de l’information personnelle des citoyens européens par les entreprises américaines garantit-il une protection suffisante des données ? Ce n’est en tout cas par l’avis d’Yves Bot, l'avocat général de la Cour de justice de l'Union européenne. Si cet avis est suivi, l’échange de données entre l'Union européenne et les États-Unis risque d’être sérieusement perturbé.
La position de l'avocat général pourrait ainsi inciter les gouvernements nationaux de l'UE à fixer leurs propres normes pour la protection des données exportées et perturber les activités de milliers d'entreprises, réseaux sociaux, moteurs de recherche, mais aussi le traitement des salaires. L’avis de l’avocat général, qui s’exprimait sur une affaire relative aux activités du réseau social Facebook, n’engage pas la Cour de Justice, mais en général, les juges suivent ces opinions. Le groupe de pression Digital Europe, qui compte Google et Microsoft parmi ses membres - mais pas Facebook - a immédiatement exprimé son inquiétude à propos de ce qui se passera si le tribunal suit l'avis de l'avocat général. En plus des opérations commerciales, une telle décision pourrait perturber le projet de marché unique numérique prôné par l'UE qui vise à une harmonisation des lois en matière d’e-commerce, de droit d'auteur et de confidentialité. Selon le groupe de pression, une telle position pourrait remettre en cause le modèle contractuel qui régit le partage des données dans le monde entier.
Une protection pourtant jugée adéquate depuis juillet 2000
L'avis de l’avocat général concerne une affaire assez alambiquée portée devant la Haute Cour irlandaise par un citoyen autrichien, Maximillian Schrems. N’ayant pas obtenu satisfaction devant le Commissaire irlandais chargé de la protection des données pour sa plainte déposée contre Facebook, ce dernier a fait appel à la haute cour du pays. La plainte a été déposée en Irlande parce que c’est là que se trouve le siège européen de Facebook. Donc, tous les échanges de données réalisés par le réseau social concernant les citoyens de tous les pays de l'UE sont soumis à la loi irlandaise de protection des données. Le droit communautaire exige des entreprises exportatrices de données personnelles des citoyens européens que le pays qui reçoit les données garantisse un niveau de protection juridique équivalent.
Dans le cas des États-Unis, l'échange de données à caractère personnel est protégé par le Safe Harbor Privacy Principles. En juillet 2000, la Commission européenne avait estimé que les principes du Safe Harbor fournissaient une protection adéquate. La Commission est en train de renégocier ces principes avec les États-Unis, mais l’avis de l’avocat général Yves Bot laisse entendre que l’UE aurait dû suspendre l'accord existant pendant les négociations. L’association européenne de protection des droits numériques European Digital Rights Initiative (EDRI) a salué la critique de l’avocat général de l’UE sur l'inaction de la Commission, ajoutant que ladite Commission ne devrait plus jamais être autorisée à maintenir de force des accords que le groupe de pression qualifie de « manifestement illégaux ».
Une affaire qui prend ses racines dans le scandale de la NSA
L’affaire Maximillian Schrems démarre en 2013, après les révélations de l’ancien consultant de la NSA Edward Snowden selon lesquels les services de renseignement américains espionnent les données détenues par des entreprises comme Facebook. En juin, le citoyen autrichien dépose une plainte devant le Commissaire irlandais à la protection des données (DPC) pour contester le niveau de protection du Safe Harbor sur les données le concernant détenues par Facebook.
En juillet, le commissaire rejette sommairement sa plainte au motif que la Commission a reconnu que les principes du Safe Harbor suivis par Facebook étaient suffisants. En octobre 2013, Maximillian Schrems fait appel de la décision du Commissaire irlandais devant la Haute Cour irlandaise, et en juin 2014, celle-ci demande à la Cour de justice européenne de se prononcer sur la question. Dans son avis, Yves Bot a déclaré que le Commissaire irlandais à la protection des données n’aurait pas dû se reposer sur la décision de la Commission concernant l'adéquation des principes du Safe Harbor pour rejeter la plainte de Maximillian Schrems.
« Malgré cette décision, les régulateurs nationaux devraient avoir le droit de statuer eux-mêmes sur ces sujets », a-t-il déclaré. Les juges de la Cour de Justice européenne viennent tout juste de commencer à débattre de ce sujet et d’autres questions afférentes. Leur décision aura valeur contraignante pour la Haute cour irlandaise. Le citoyen autrichien espère que l’avis de l’avocat général va prévaloir. « J’ai l’impression que ces années de travail vont finalement servir à quelque chose. Il faut maintenant espérer que les juges de la Cour de justice vont suivre la position de l'avocat général, sur le principe », a-t-il écrit quand il a eu connaissance de l’avis de Yves Bot.
Qu'on arrête SVP de parler de "partage de données". C'est bien du "piratage de données" pur et simple dont il s'agit ici, avec des smartphones et des OS fixes préinstallés en guise de chevaux de Troie. La différence aujourd'hui, c'est qu'on a enfin des OS libres grands publics dont plus personne ne peut nier les qualités. Nous pouvons donc désormais nous passer de ces dictateurs. Bref, il est bien temps que l'Europe renvoie ces marchands de pacotille et leur camelote chez eux : nous pouvons en Europe faire beaucoup mieux, et nos ingénieurs ne sont pas plus stupides que leurs homologues américains. Il suffit de voir Qwant pour s'en convaincre.
Signaler un abus