EurActiv.fr

Actualités & débats européens dans votre langue

22/01/2017

La Cour européenne condamne le transfert de données personnelles aux États-Unis

Société de l'information

La Cour européenne condamne le transfert de données personnelles aux États-Unis

Un avocat général de la Cour européenne de justice a émis un avis le 23 septembre sur l’accord de « Safe harbour » qui autorise de transmettre les données personnelles des individus de l’UE vers les États-Unis.

L’avocat général français Yves Bot a déclaré dans ses conclusions que « les lois et les pratiques des États-Unis autorisent la collecte et le transfert à grande échelle des données personnelles des citoyens de l’UE, sans que ces citoyens puissent bénéficier d’une protection juridictionnelle effective ».

La décision finale de la CJCE sur l’accord relatif à la sphère de sécurité, attendue plus tard cette année, ne sera pas forcément la même que celle de Yves Bot. Toutefois, les décisions de la Cour suivent souvent les avis des avocats généraux.

L’affaire porte sur la plainte déposée par Max Schrems, un Autrichien de 27 ans, contre Facebook. En effet, il accuse l’entreprise de transférer ses données vers les États-Unis. Max Schrems, étudiant en droit au moment de la plainte, affirme que la protection des données aux États-Unis n’est pas adaptée, surtout suite aux révélations du partage d’informations entre des entreprises américaines et la NSA.

Yves Bot soutient que la Commission aurait dû suspendre l’accord après les révélations d’Edward Snowden sur la collecte d’informations à grande échelle des agences de renseignement américaines.

>> Lire : Edward Snowden va témoigner devant les eurodéputés

« L’accès dont disposent les services de renseignement américains aux données transférées est constitutif d’une ingérence dans le droit au respect de la vie privée et dans le droit à la protection des données personnelles, tous deux garantis par la Charte », explique Yves Bot dans son avis.

D’abord rejetée par l’Autorité irlandaise de protection de la vie privée, qui invoquait la validité juridique de la sphère de sécurité, l’affaire a ensuite été transférée par la Cour suprême irlandaise devant la Cour européenne de justice en 2014. Le régulateur irlandais est en charge des plaintes relatives à la vie privée déposées contre Facebook, dont la base européenne se trouve en Irlande.

Dans son avis, Yves Bot appelle l’autorité irlandaise à reprendre l’affaire Max Schrems.

Il estime aussi que les autorités nationales de contrôle peuvent intervenir et suspendre le transfert de données, si elles le jugent nécessaire.

En mars dernier , l’affaire Schrems a poussé la Commission européenne à reconnaître auprès de la CJUE que l’accord sur la sphère de sécurité avec les États-Unis ne garantissait pas un niveau de protection des données personnelles suffisant. L’accord permet aux entreprises de transférer des données d’Europe vers les États-Unis si elles s’engagent à protéger les données de manière adéquate.

>> Lire : Le Conseil approuve un renforcement de la protection des données

John Higgins, directeur général de l’association des industries européennes de technologies, DigitalEurope, a déclaré que l’avis rendu par l’avocat général était une source de inquiétudes pour les entreprises. Les membres de DigitalEurope comprennent Microsoft, Google, Apple et un grand nombre d’autres grandes multinationales.

« En plus de l’effet perturbateur qu’elle aurait sur le flux de données international, une décision de la Cour entraverait la création du marché unique numérique en Europe, car elle fragmenterait l’approche européenne sur le flux de données en dehors de l’UE », craint John Higgins.

Si la Cour européenne de justice suit l’avis de Yves Bot, Max Schrems pense que l’industrie américaine des technologies en pâtira.

« L’approche proposée par l’avocat général est équilibrée et protège les droits fondamentaux des utilisateurs et la libre circulation des données. Je suis sûr que les lobbies vont encore une fois prédire ‘la mort d’Internet’. En réalité, cette affaire ne s’attaque qu’à l’externalisation des données d’une entreprise européenne vers une entreprise américaine dans le cas d’un partage de données pour une surveillance de masse », a déclaré Max Schrems, après la publication de l’avis de l’avocat général.

L’actuelle directive sur la protection des données permet un flux limité de données en dehors de la sphère de sécurité, qui n’est pas soumis à l’examen des autorités européennes.

La Commission et les autorités américaines négocient depuis presque deux ans un nouvel accord sur la sphère de sécurité.

« C’est inacceptable que la Commission ait ignoré cette demande pendant un an et demi. Il est grand temps que l’exécutif suspende enfin la sphère de sécurité », a déclaré l’eurodéputé allemand Jan Philipp Albrecht (Verts), réagissant à l’avis d’Yves Bot.

Jan Philipp Albrecht est rapporteur des négociations en cours sur le règlement général sur la protection des données (GDPR).

En 2013, la Commission a émis 13 recommandations pour améliorer l’accord, mais ce dernier a été retardé à cause des divergences sur les dispositions relatives au partage des données et l’application de la loi américaine.

>> Lire : Les divergences persistent sur la protection des données entre l’UE et les États-Unis

Lors de l’élaboration du nouvel accord sur la sphère de sécurité, la Commission devra se référer à la décision finale de la CJUE, qui aura des conséquences sur des entreprises comme Facebook, Google, Apple, et autres sociétés qui transfèrent des données européennes vers les États-Unis pour les traiter ou les stocker.

L’affaire Facebook a fait de Max Schrems une figure centrale du débat sur la vie privée entourant la sphère de sécurité et le GDPR.

Les frais juridiques auxquels Max Schrems a dû faire face ont été couverts grâce à des dons d’un montant total de 60 000 euros.

Le 23 septembre, Max Schrems a remercié Edward Snowden, Laura Poitras et les journalistes Glenn Greenwald d’avoir publié les révélations du lanceur d’alerte sur les agences de renseignements américaines.

« Sans leur travail et sans les dons de plus de 2 000 personnes, cette affaire ne serait pas devant la plus importante Cour d’Europe aujourd’hui », a-t-il déclaré.

Contexte

Les règlementations européennes sur la protection des données ont été adoptées en 1995, alors qu’Internet n’en était encore qu’à ses balbutiements.

En janvier 2012, la Commission européenne a publié un vaste paquet législatif visant à remplacer les règles existantes et à assurer une meilleure protection des données personnelles à travers l’Union européenne.

Ce paquet comprend deux propositions législatives : un règlement général sur la protection des données (directement applicable dans tous les États membres) et une directive spécifique sur la protection des données dans les domaines de la police et de la justice (à transposer dans le droit national).

Le débat sur la protection des données personnelles a pris un nouveau tournant suite aux révélations concernant la surveillance et les écoutes américaines.

Le « lanceur d’alerte » Ed Snowden a révélé la semaine dernière que la NSA disposait d’une autorité secrète à grande échelle pour espionner les courriels et les communications sur Internet en utilisant un programme d’extraction de données appelé PRISM.

Les responsables politiques européens ont vivement réagi à ces nouvelles et ont appelé à des mesures plus strictes pour garantir la sauvegarde de la vie privée.