L’onde de choc provoquée par les révélations d’Edward Snowden concernant les écoutes de la NSA n’en finit plus de produire des effets collatéraux. Ce mardi, la Cour de justice européenne (CJUE) a invalidé l’accord dit Safe Harbor, qui autorisait le transfert des données personnelles des citoyens européens vers les États-Unis — une fois sur les serveurs américains, ces informations peuvent ensuite être exploitées en toute liberté ou presque par les grandes oreilles des agences américaines de renseignement.
Safe Harbor (« sphère de sécurité ») est un cadre juridique qui permet aux entreprises américaines exerçant une activité en Europe (elles sont environ 4 000) de récolter les données personnelles de leurs utilisateurs. Cette directive entrée en vigueur en 2000 vise à concilier les approches sur le respect de la vie privée qui sont souvent très différentes entre les États-Unis et l’Europe.
L’instauration du droit à l’oubli, au printemps 2014, est la preuve que d’un côté de l’Atlantique à l’autre, la problématique des données personnelles est gérée très différemment. C’est d’ailleurs la CJUE qui a exigé de Google la mise en place d’un mécanisme de suppression des liens.
Dans le dossier Safe Harbor, la Cour de justice européenne a été interpellée par un citoyen autrichien qui avait déposé plainte contre Facebook en Irlande, siège du réseau social en Europe. En substance, Max Schrems estimait que la récolte des données par Facebook et leur stockage aux États-Unis constituait une violation de ses droits. L’affaire a rebondi jusqu’à la plus haute juridiction européenne.
La CJUE juge que les États-Unis n’assurent pas un « niveau de protection adéquat aux données à caractère personnel » des citoyens de l’UE. La Cour a entendu les arguments de Schrems : à la lumière des révélations d’Edward Snowden en 2013 sur les exactions de la NSA, « le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays ».
La CJUE écrit dans son arrêté que des ingérences sont possibles dans le cadre du régime américain sur la sphère de sécurité : les droits fondamentaux des personnes sont menacés, et c’est encore plus vrai étant donnée l’absence aux États-Unis de règles ou de protection juridique destinées à limiter ces ingérences.
La Cour a pu constater que les États-Unis pouvaient accéder aux données confidentielles récoltées auprès des citoyens européens, et les traiter d’une « manière incompatible (…) au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale ». Avant le rendu de cette décision, les États-Unis avaient tenté de convaincre que le pays ne pratiquait pas de surveillance massive… sans y parvenir, donc.
Si Facebook était l’entreprise américaine visée par cette plainte, ce sont désormais toutes les sociétés US exerçant en Europe qui vont devoir revoir leurs pratiques. Le réseau social estime d’ailleurs qu’il est « impératif » que les autorités des deux continents s’entendent sur un nouveau protocole, car en l’état on voit mal comment Apple, Google, Microsoft et tous les mastodontes du web pourraient stocker leurs données sur le seul sol européen, loin de la juridiction de la NSA.
