Boum ! La Cour de justice de l’Union européenne a suivi les conclusions de son avocat général : elle annule le safe harbor américain, dispositif juridique qui permettait jusqu’alors aux géants comme Facebook de butiner les données personnelles des internautes européens. Les conséquences de ce coup de tonnerre sont multiples, mais pas forcément dramatiques.

La messe a été dite à 9h30 ce matin. La CJUE a finalement annulé le label « Safe Harbor » qu’en 2000, la Commission européenne avait apposé généreusement sur le dos courbé des États-Unis (l'arrêt en français et en PDF). Depuis, les entreprises locales ont eu la possibilité d’aspirer sans mal les données personnelles des utilisateurs, clients, internautes, etc. pour les traiter aux États-Unis. Seules contraintes ? Une procédure d’auto-certification préalable.

Seulement, ce pipeline de l’Europe vers les États-Unis a été, au fil du temps, remis en cause. Un étudiant autrichien, Maximilien Schrems, avait ainsi défié la CNIL irlandaise en mettant à l’index la veine Facebook. Il avait contesté devant les juridictions locales le refus par le Commissaire à la protection des données d’enquêter sur le transfert de ses informations personnelles aux États-Unis. La CNIL irlandaise s’était en effet abritée derrière la décision bruxelloise de 2000 affirmant en substance que celle-ci faisait écran à son contrôle.

Armé des révélations Snowden, cet Autrichien considère au contraire que ce pays est tout sauf une sphère de confiance et qu’il revient aux autorités de contrôle de jouer leur rôle. Le bras de fer s’était ensuite poursuivi jusqu’à la Cour de justice de l’Union européenne, qui a rendu ce matin sa décision. Et c’est peu de le dire, les arguments de Schrems ont bien fait mouche.

Préalablement à cette décision, l’avocat général à la CJUE avait déjà noté que les États-Unis « n’offrent aucune protection réelle des données conservées sur le territoire (...) contre la surveillance de l’État. Cela résulterait des révélations faites par M. Snowden à partir du mois de mai 2013 au sujet des activités des services de renseignement américains, et en particulier de celles de la National Security Agency ». Et celui-ci de poursuivre : « une fois que les données à caractère personnel sont transférées aux États-Unis, la NSA ainsi que d’autres agences de sécurité américaines telles que le Federal Bureau of Investigation (FBI) peuvent y accéder dans le cadre de la surveillance et d’interceptions de masse indifférenciées. »

Safe Harbor ou pas, les CNIL européennes conservent leur pouvoir de contrôle

Pour suivre ces conclusions, la CJUE s’est appuyée sur différentes communications de la Commission européenne qui, en plein scandale Prism, s’était émue de la maltraitance des données personnelles européennes outre-Atlantique. Sans tirer de suite logique de ses constats.

Par exemple, elle avait fait état de ce que « toutes les entreprises participant au programme PRISM [programme de collecte de renseignements à grande échelle], qui permettent aux autorités américaines d’avoir accès à des données stockées et traitées aux États-Unis semblent être certifiées dans le cadre de la sphère de sécurité ».

Elle relevait encore que ce Safe Harbor était devenu « l’une des voies par lesquelles les autorités américaines du renseignement ont accès à la collecte des données à caractère personnel initialement traitées dans l’[Union] » (point 22 de la décision). De même, contrairement aux américains, les citoyens européens n’ont pas la possibilité « d’obtenir l’accès, la rectification ou la suppression de données ou d’exercer des voies de droit administratives ou judiciaires si, dans le cadre des programmes de surveillance des États-Unis, des données à caractère personnel les concernant sont collectées et traitées ultérieurement. »

Dans son arrêt, la CJUE s’est d’abord intéressé aux pouvoirs des autorités de contrôle en Europe. À contre-courant de l’analyse de la CNIL irlandaise, les juges européens estiment que ces autorités doivent pouvoir jouir « de pouvoirs d’investigation », « d’intervention », avec la possibilité « d’interdire temporairement ou définitivement un traitement de données, ou encore du pouvoir d’ester en justice. »

Le message est clair : le label de confiance attribué par la Commission européenne en 2000 aux Etats-Unis ne fait pas écran, quoi qu’en dise la CNIL irlandaise. Ce Safe Harbor n’assure qu’une « présomption de légalité » en rien irréfragable. Elle est donc contestable par quiconque en Europe et les autorités de contrôle européennes « doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences » posées par la directive de 95. Il reviendra alors à la justice européenne, saisie comme ici, de trancher les différences d’interprétation.

La décision « safe harbor américain » de la Commission est invalidée

Après avoir remis au premier plan les CNIL nationales, la CJUE va s’attaquer frontalement à la décision de 2000 en adressant une pluie de reproches à Bruxelles. Déjà, la Commission n’aurait pas dû laisser perdurer son label après l’orage Snowden. Celle-ci aurait dû « vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause » était « toujours justifiée en fait et en droit. »

Mais il y a plus grave encore. Dès l’origine, cette décision de Bruxelles était bourrée de défaillances. Dans ses annexes, il était par exemple prévu que la sphère de protection pouvait être crevée par les autorités américaines dès lors qu’étaient en jeu – notamment - des « exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des États-Unis. »

Des exceptions très vastes, non bordées outre-Atlantique, qui ont agacé la CJUE, elle qui n’accepte que des atteintes strictement nécessaires. Ce passage issu de l’arrêt est éclairant :

« n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données » (point 93 de la décision).

En particulier, ajoute-t-elle en légitimant d’une certaine manière les révélations Snowden, « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ». Et s’ajoute à cet état des lieux catastrophique l’impossibilité pour les citoyens européens de disposer de voie de recours aux États-Unis pour faire corriger ces traitements…

Bref, la CJUE a donc fusillé la décision de 2000 tout en demandant aux CNIL européennes de revenir au premier plan, elles qui étaient restées bien trop frileuses depuis 2013.

Les conséquences juridiques de cette annulation

Quelles sont les conséquences juridiques de cette décision ? Pour le cas présent, la balle est de retour maintenant dans le camp irlandais. Il reviendra à l'autorité de contrôle nationale de mener à bien ses investigations en analysant le fond de la saisine de M.Schrems. Au final, la Cour pourrait se réinviter au débat pour trancher les différentes interprétations éventuelles.

Au-delà, il faut savoir que des milliers d’entreprises américaines profitaient du parapluie du safe harbor pour butiner et traiter ces informations sensibles (leur liste sur le site des autorités américaines). Et si on suit la directive de 1995 sur les données personnelles, lorsqu’un pays n’offre pas (ou plus) de niveau de protection adéquat, normalement le transfert des données est interdit.

Juridiquement, il ne faut pas aller trop vite car le pipeline des données aspirées par les géants américains risque bien de ne pas être à long terme obstrué. L’article 26 de la directive précitée prévoit en effet tout un régime de denses exceptions.

Spécialement, les États membres ont toujours la possibilité de prévoir un transfert de données à caractère personnel même vers les « pays tiers n'assurant pas un niveau de protection adéquat ». Ce régime est évidemment soumis à plusieurs conditions, alternatives. Par exemple, la personne concernée peut avoir « indubitablement donné son consentement au transfert envisagé ». Autres cas, le transfert peut être nécessaire à l’exécution d’un contrat entre cette personne ou un tiers, et le responsable du traitement. De même encore, un État membre peut autoriser ce transfert dès lors que l’entreprise offre elle-même « des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes », etc.

En somme, il sera possible par exemple de corriger l’annulation du safe harbor par une série de dispositions contractuelles. Des clauses types sont d’ailleurs avalisées de longue date par la Commission européenne pour satisfaire ce champ exceptionnel (voir le déroulé sur le site de la CNIL).

Alternativement, des Binding Corporate Rules (BCR), qui sont des codes de conduite interne, permettent eux aussi de définir ce fameux niveau de protection suffisant aux données transférées hors Union européenne. « Elles constituent une alternative aux principes du Safe harbor pour les transferts vers les États-Unis », décrit la CNIL dans ce PDF.

Les conséquences commerciales de cette annulation

Bref, cette décision ne devrait pas engendrer de méga-révolution, même si des problématiques vont perdurer un temps durant. Cependant, il ne faut pas le négliger : l’arrêt de la CJUE est avant tout un tir de canon à l’égard des entreprises américaines et au-delà, du système de surveillance de la NSA. Les États-Unis n’étant plus une sphère de confiance, le public comprendra assez rapidement qu’ils sont désormais une sphère de défiance.

Même si difficilement quantifiables à cet instant, les conséquences commerciales devraient être lourdes. D’ailleurs, les prestataires de cloud américains s’étaient déjà plaints des effets des révélations Snowden sur leurs activités. Un rapport publié en 2013 par la Cloud Security Alliance chiffrait à 56% le nombre d’entreprises non-résidentes américaines désormais moins enclines à utiliser des fournisseurs de cloud basés aux Etats Unis. Comme l’affaire Prism, la décapitation du Safe Harbor va donc jeter un voile de suspicion sur la réputation des acteurs américains, un critère fondamental pour qui veut prospérer en ligne.

Inversement, cette décision va ouvrir des enjeux en termes de souveraineté de l’Europe, comme nous le signale sur Twitter l’inévitable députée Laure de la Raudière (Les Républicains), une des spécialistes des questions du numérique.

Enjeux de souveraineté de l'Europe et de la France, à l'ère du numérique... Décision majeure de la CJUE #StayTuned https://t.co/m9buwnhG79 — Laure de La Raudière (@lauredlr) 6 Octobre 2015

De son côté, l’institut de souveraineté numérique avait déjà anticipé en ce sens cette décision lorsqu’il a salué les observations de l’avocat général, qui concluait pour la remise en cause. Selon Bernard Benhamou, secrétaire général de cette association, « en réaffirmant le rôle des autorités nationales de protection des données personnelles vis-à-vis de l’accord Safe Harbor, ces conclusions placent aussi le principe de souveraineté sur les données au cœur de la doctrine européenne ». Dans un tout frais communiqué, ce même ISN voit dans cette décision « un signal franc pour la protection des données personnelles des européens ». Et celui-ci d’ajouter que « les données personnelles des citoyens européens doivent désormais être protégées à la fois par des mesures d’encadrement juridique adéquates et par des mesures de protection technologiques en particulier cryptographiques. En effet, au-delà des services existants, la montée en puissance des nouveaux objets connectés et l’évolution des algorithmes de traitement des données en masse (big data), rendent plus nécessaire encore la protection de ces données. »

Nous reviendrons plus en avant sur les réactions attendues de part et d’autre de l’Atlantique.