L'Arrêt "SAFE HARBOR" du 6 octobre 2015 : L'arbre qui cache la forêt

1. La numérisation croissante de l’économie a pour effet de créer chaque année des milliards de données informatiques, lesquelles sont nécessairement amenées à être stockées, traitées, puis exploitées par des entités commerciales privées et certaines administrations publiques.

Un rapport EMC/IDC publié en 2014 estime ainsi que chaque foyer devrait créer chaque année près de 318 gigaoctets de données à l’horizon 2020. (Source : lefigaro.fr et AFP – « Le nombre de données numériques va exploser », article publié le 09/04/2014)

Selon certains analystes, le traitement des données collectées représenterait ainsi le « pétrole du nouveau siècle » pour les acteurs du numérique.

Dans ce contexte, la protection des données personnelles, c’est-à-dire des données permettant directement ou indirectement d’identifier une personne, revêt une importance toute particulière.

2. Le Droit Européen a en particulier mis en place sa propre règlementation permettant -- en théorie -- de garantir à ses administrés que leurs données personnelles ne seront pas transférées dans un pays tiers ne garantissant pas « un niveau de protection adéquat ».

Dans ce contexte, la Commission a été amenée à considérer, le 26 juillet 2000 (décision 2000/520), que les Etats-Unis d’Amérique assuraient bien le « niveau de protection adéquat » exigé par les textes afin que les données des citoyens européens puissent y être transférées.

Les identités civiles, adresses, situations personnelles et professionnelles, et centre d’intérêts de millions d’européens sont ainsi en pratique stockées sur le sol américain par les géants du web.

Les révélations d’Edward SNOWDEN ont cependant pu créer un doute légitime sur les pratiques de certains organismes américains en la matière.

3. C’est dans ces conditions qu’un utilisateur autrichien du réseau social FACEBOOK a souhaité contester la validité juridique de la décision rendue le 26 juillet 2000 par la Commission.

En pratique, chaque utilisateur européen du réseau social transfère des données hautement personnelles à la filiale irlandaise du géant des réseaux sociaux, ces mêmes données étant à terme stockées aux Etats-Unis.

Monsieur SCHREMS s’est en particulier ému des pratiques peu orthodoxes des services de renseignement américains, et en particulier des dispositifs leur permettant de contraindre des entreprises comme Google, Amazon ou Facebook à leur transférer les données personnelles en leurs possession, sans contrôle, ni possibilité de recours des personnes concernées.

4. Au terme d’une procédure complexe dont nous ferons ici l’économie, la Cour de Justice de l’Union Européenne (CJUE) a ainsi été amenée à se positionner au sujet de la validité de la décision 2000/520 rendue par la Commission.

Saisie de la question, la CJUE n’a pas hésité à affirmer que la primauté « des exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois américaines » sur les exigences de protection de la vie privée est incompatible avec celles-ci.

La CJUE a en particulier constaté qu’« aucune protection juridique efficace » n’est instituée par la règlementation américaine « contre les ingérences d’autorités, dans les droits fondamentaux des personnes dont les données à caractère personnel sont ou pourraient être transférées depuis l’Union vers les Etats-Unis. »

La Cour souligne par la suite que « n’est pas limité au strict nécessaire une règlementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les Etats-Unis », avant d’annuler purement et simplement la décision de la Commission.

La Commission n’a finalement « pas fait état de ce que les Etats Unis d’Amérique « assurent » effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux. »

5. La dimension de l’arrêt rendu le 6 octobre 2015 par la CJUE, juridiquement peu contestable, est selon nous essentiellement politique.

En effet, les autorités américaines et européennes négocient à n’en pas douter depuis de longs mois un « SAFE ARBOR 2 » qui donnera lieu à une nouvelle décision de la Commission.

Il n’en demeure pas moins que l’impact médiatique de l’arrêt permet de sensibiliser les utilisateurs européens au sujet des conséquences liées à la transmission de leurs données aux géants de l’internet, lesquels sont principalement établis sur le sol américain (le réseau internet n’est-il pas une invention américaine ?).

L’arrêt de la CJUE met enfin en évidence les enjeux économiques et politiques cruciaux liés au « BIG DATA ».

Il n’empêchera absolument pas, en pratique, le traitement massif de l’ensemble des informations que nous transmettons quasi-quotidiennement aux acteurs du web, dont l’apparente gratuité des services ne dupera désormais personne.

Bertrand Hassid & Ronan Le Moigne