La Cour de justice de l’Union européenne (CJUE) a décidé, mardi 6 octobre, de suspendre le « Safe Harbor », un accord qui encadre l’utilisation des données des internautes européens par de nombreuses entreprises américaines, dont les géants du Web.
Pour la Cour, les autorités de protection des données personnelles doivent conserver leur pouvoir de contrôle et de sanction sur la manière dont les données personnelles des Européens sont traitées. Les juges ont estimé que la mise à disposition des données personnelles des Européens aux agences de renseignement américaines portait « atteinte au contenu essentiel du droit fondamental au respect de la vie privé ».
La Cour de Luxembourg pointe également le fait que les citoyens européens, par définition, ne disposent d’aucun recours pour protester contre l’utilisation de leurs données personnelles aux Etats-Unis.
Les juges écornent enfin sévèrement la Commission, qui a noué le Safe Harbor avec les Etats-Unis :
« La Commission était tenue de constater que les Etats-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union. La Cour relève que la Commission n’a pas opéré un tel constat. »
Les juges de la CJUE ont suivi le réquisitoire de l’avocat général : pour la Cour, la surveillance exercée par les agences de renseignement américaines et révélée par les documents Snowden rend caduc cet accord. Ce dernier prévoit en effet que les données des Européens peuvent être transférées depuis le Vieux Continent vers les Etats-Unis tant qu’une « protection adéquate », c’est-à-dire en ligne avec celle qu’accorde le droit européen, est appliquée à ces données.
La surveillance américaine en procès
La procédure a débuté en Irlande, le pays où se trouve le siège européen de Facebook. Un étudiant autrichien, Max Schrems, avait déposé une plainte contre le réseau social, dans la foulée de la révélation par Edward Snowden du programme Prism, qui aménage pour les agences de renseignement américaines un accès privilégié aux données de leurs utilisateurs, y compris celles des Européens. Pour lui, cette violation manifeste de ses droits, protégés par les textes européens, devait être sanctionnée par l’Autorité irlandaise de protection des données.
Cette dernière avait refusé de se pencher sur son cas, citant les conditions très restrictives du Safe Harbor. L’affaire, après la Haute Cour irlandaise, est arrivée devant la CJUE, qui a donc dû se prononcer sur la compatibilité de cet accord avec le droit européen en matière de données personnelles.
Max Schrems s’est réjoui dans un communiqué de la décision de la CJUE :
« Cette décision est un coup sérieux porté à la surveillance mondiale des Etats-Unis, qui se repose massivement sur des partenaires privés. Cet arrêt montre clairement que les entreprises américaines ne peuvent pas contribuer à l’espionnage américain en violant les droits fondamentaux européens. »
Par la voix de sa représentation auprès de l’Union européenne, les Etats-Unis avaient, avant même la décision de la Cour, nié pratiquer une surveillance massive des données des Européens et affirmé que les outils à disposition de leurs agences de renseignement étaient utilisés avec mesure.
Après la décision sur le « droit à l’oubli » du printemps 2014, c’est la deuxième fois en peu de temps que la justice de l’Union européenne s’immisce dans les affaires des géants du Net. La décision rendue ce mardi pourrait cependant avoir des conséquences encore plus grandes, dans un monde où les données sont, selon l’expression consacrée, « le nouveau pétrole ».
L’annulation du Safe Harbor devrait en effet contraindre Google, Facebook et consorts – environ 4 000 entreprises américaines présentes en Europe y ont recours – à davantage conserver en Europe les données de leurs utilisateurs européens et donc à limiter leurs marges de manœuvre en matière d’exploitation de ces données.
Voir les contributions
Réutiliser ce contenu
