[email protected] La lâcheté des technocrates de Bruxelles devant le géant américain en matière de transfert de données à partir de l'Espace économique européen n'est pas du goût des magistrats de la Cour de justice européenne. L'arrêt rendu le 6 octobre dernier par la Cour de justice européenne du Luxembourg dans l'affaire C-362/14 Maximillian Schrems/Data Protection Commissioner invalide la décision de la Commission soutenant, trop légèrement à ses yeux, que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées(*). Elle dénie aux entreprises américaines le droit de transmettre les données personnelles des Européens vers les Etats-Unis, celles-ci n'y bénéficiant d'aucune protection réelle ce qui porte «atteinte au contenu essentiel du droit fondamental au respect de la vie privée» et à l'Etat de droit. La sentence vaut pour Facebook, Google, Apple, Amazon et autres opérateurs américains qui ne pourront plus transmettre de données vers le territoire américain, mais également pour les compagnies aériennes (PNR, passenger name recorder) ou encore les banques (SWIFT) européennes. Bref rappel des faits. M. Maximillian Schrems, un citoyen autrichien, utilise Facebook depuis 2008. Comme pour les autres abonnés résidant dans l'Union, les données fournies par M. Schrems à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des Etats-Unis, où elles font l'objet d'un traitement. M. Schrems a déposé une plainte auprès de l'autorité irlandaise de contrôle, considérant qu'au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des Etats-Unis (en particulier la National Security Agency ou «NSA»), le droit et les pratiques des Etats-Unis n'offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays. L'autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 2000, la Commission a considéré que, dans le cadre du régime dit de la «sphère de sécurité», les Etats-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées. Ce qui est en cause ici c'est l'efficacité de l'instrument juridique mis en place par la Commission en 2000 (décision 2000/520/CE) dans l'intention affichée d'assurer une protection équivalente à celle qui existe dans l'Union pour les données transmises aux Etats-Unis. Cet instrument porte le nom de «Safe Harbor» ou «sphère de sécurité» — par laquelle passent 95% des données — un code de bonne conduite reposant, comme le dit la Cour de Luxembourg, «sur l'autoévaluation et l'autocertification» des entreprises américaines, censé garantir, notamment, un droit d'accès et de rectification aux citoyens européens. C'est ce «Safe Harbor» que la Cour démolit : pour elle, il s'agit d'une coquille vide, pour cette raison essentielle qu'il «est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des Etats-Unis y soient elles-mêmes soumises. En outre, les exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des Etats-Unis l'emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d'écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu'elles entrent en conflit avec de telles exigences». Le Département du commerce américain, en concertation avec la Commission européenne, croyait pouvoir échapper à la vigilance démocratique en prétendant concilier l'impératif européen de respect de la vie privée et permettre aux entreprises et organisations américaines de se conformer à la directive européenne par ce biais. En effet, les principes de la Sphère de sécurité permettaient à une entreprise américaine de certifier qu'elle respecte la législation de l'Espace économique européen afin d'obtenir l'autorisation de transférer des données personnelles de cet espace vers les Etats-Unis. Le cadre juridique du Safe Harbor (Sphère de sécurité) s'avère trop étroit, voire restrictif, pour les magistrats de la Cour. En invalidant l'accord Safe Harbor, la Cour estime que les Etats-Unis n'offrent pas un niveau de protection adéquat aux données personnelles transférées. La Commission est soupçonnée ici d'avoir outrepassé ses pouvoirs : sur la validité de la décision 2000/520, la Cour constate que «compte tenu, d'une part, du rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d'autre part, du nombre important de personnes dont les droits fondamentaux sont susceptibles d'être violés en cas de transfert de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat, le pouvoir d'appréciation de la Commission quant au caractère adéquat du niveau de protection assuré par un pays tiers s'avère réduit». La Cour de justice vient ainsi combler la défaillance du législateur national plutôt frileux devant la toute-puissance américaine : en l'absence de texte, elle assure elle-même la protection nécessaire. Plus fondamentalement, comme le relevait Sylvain Rolland récemment dans La Tribune, l'Europe se débat entre deux impératifs difficilement conciliables : «D'un côté, il faut lever les freins à l'innovation pour développer l'économie numérique et réduire la dépendance du Vieux-Continent aux géants du Net américains. Mais la réalisation de cet objectif impose d'exploiter toujours plus les données privées des citoyens... tout en sachant que plus le volume d'informations personnelles est important, plus leur anonymisation devient difficile en raison des possibilités de recoupement, tout comme leur protection. De l'autre, l'Europe doit protéger les données de ses citoyens, à la fois pour établir l'indispensable confiance, mais aussi pour garantir sa souveraineté.»(**) Là encore, l'argument économique va certainement amputer cet idéal démocratique réaffirmé par la Cour. En effet, entre des sanctions pécuniaires plutôt symboliques auxquelles elles s'exposent en Europe et ce qui les attend comme répression aux Etats-Unis, les entreprises n'ont d'autre choix que de poursuivre le transfert des données. Au jeu du bâton, les Américains savent mieux y faire. A. B. (*) Cour de justice européenne, affaire C-362/14 Maximillian Schrems/Data Protection Commissioner, 6 octobre 2015, http://curia.europa.eu/juris/liste. (**) Sylvain Rolland, Peut-on encore reprendre le contrôle de nos données ?, La tribune, 30 octobre 2015.
