Lors de la première audience de l'affaire Maximilian Schrems devant la CJUE, l'avocat de la Commission européenne a conseillé au procureur général de quitter Facebook s'il voulait vraiment bénéficier de la protection censée être offerte par le droit européen aux données personnelles envoyées vers les Etats-Unis.

"Vous devriez songer à fermer votre compte Facebook, si vous en avez un". La petite phrase envoyée mardi au procureur général de la Cour de Justice de l'Union Européenne (CJUE) pourrait passer pour un simple effet d'audience d'un avocat taquin, si elle n'avait pas été prononcée très sérieusement par Bernhard Schima, l'avocat de la Commission européenne, lors d'un procès sur la confidentialité des données des Européens exportées vers des services en ligne américains.

L'affaire en cause (C-362-14) oppose un activiste autrichien, Maximilian Schrems, au commissaire irlandais à la protection des données. L'an dernier, la justice a demandé à la CJUE si l'homologue irlandais de la CNIL était "absolument lié par la constatation de l’Union (européenne) contenue dans la décision de la Commission du 26 juillet 2000", selon laquelle les Etats-Unis offriraient un "niveau de protection adéquat" pour garantir le respect de la protection des données personnelles exportées outre-Atlantique.

Le requérant s'oppose en effet à ce que ses données d'utilisateur des services d'Apple, Facebook, Microsoft, Skype et Yahoo puissent être envoyées aux Etats-Unis en raison des accès que s'octroierait secrètement la NSA. En principe l'exportation vers un tiers non membre de l'UE est interdite sauf si une "protection adéquate" est garantie et vérifiée comme telle par Bruxelles.

La Haute Cour d'Irlande demande donc à la CJUE si le commissaire à la protection des données d'un pays de l'Union européenne peut "mener sa propre enquête en s’instruisant de la manière dont les faits ont évolué depuis (le 26 juillet 2000)", ou s'il est contraint de croire sur parole les affirmations de la Commission. En somme, c'est le procès du Safe Harbor, cet artifice juridique contractuel négocié il y a quinze ans entre les USA et l'Union Européenne qui autorise l'exportation des données des Européens vers les Etats-Unis si les entreprises américaines importatrices s'engagent auprès de l'administration à respecter un certain nombre de principes de protection.

Depuis les révélations d'Edward Snowden, plus personne ne croit que ce niveau est adéquat, y compris la Commission européenne qui tente de renégocier les termes du Safe Harbor.

LE PROCÈS DU SAFE HARBOR

Lors de l'audience en début de semaine, Bernhard Schima a reconnu que la législation actuelle "ne peut pas garantir une protection adéquate des données citoyens européens", et conseillé à tous les internautes qui voulaient échapper aux grandes oreilles de la NSA de ne pas utiliser de services américains comme Facebook. La négociation est toujours en cours pour obtenir une révision du Safe Harbor, mais elle patine.

L'avis de l'avocat de la Commission est au moins autant une claque reçue bien malgré lui par Facebook qu'une nouvelle baffe contre la CNIL, qui avait déjà dû subir en 2013 un rapport cinglant du Parlement européen. Suite aux révélations d'Edward Snowden, la CNIL avait en effet été pointée du doigt pour avoir elle-même favorisé les mécanismes permettant l'export de données d'Européens vers les Etats-Unis. Elle avait été accusée de naïveté dans sa défense des BCR (Binding Corporate Rules), ces codes de conduite censés selon elle "assurer un niveau de protection suffisant aux données transférées hors EU au regard des données personnelles et des droits fondamentaux", comme "alternative aux principes du Safe Harbor pour les transferts vers les Etats-Unis".

Selon le récit d'audience livré par EU Observer, la quasi totalité des intervenants ont appuyé le recours de Maximilian Schrems. Sauf l'administration irlandaise, sans doute soucieuse de ne pas fâcher les nombreuses entreprises américaines qui établissent à Dublin leur siège européen, pour des raisons essentiellement fiscales. L'avocat du commissaire irlandais à la protection des données s'est même voulu moqueur, en assurant qu'aucun préjudice n'avait été subi par Schrems par l'activité de surveillance de la NSA, car l'agence américaine "n'est pas actuellement intéressée par des essais écrits par des étudiants en droit en Autriche".

L'avocat général doit rendre son avis le 24 juin prochain.