La Quadrature du Net, French Data Network et la Fédération FDN ont lancé une procédure devant la justice européenne afin d’obtenir l’annulation de l’accord Privacy Shield.

L’accord validé le 12 juillet 2016 par la Commission européenne vient remplacer un précédent document datant de 2000. La Cour de justice de l’Union européenne avait alors sanctionné sur l’autel de la vie privée ce Safe Harbor, qui permettait jusqu’à présent aux entreprises installées outre-Atlantique d’importer les données des internautes européens. Les révélations Snowden et la mainmise de la NSA sur ce flux et ce stock ont poussé la CJUE à considérer que les États-Unis étaient tout sauf un port sûr, de niveau équivalent à un État membre européen.

Et pour la Quadrature, FDN et FFDN le même reproche peut être adressé à l’accord de Privacy Shield.

De la collecte de masse à la collecte en vrac

Dans l’arrêt Safe Harbor, la CJUE avait épinglé une réglementation « permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques ». Dans le Privacy Shield, le risque d’une collecte de masse n’est pas évacué, bien au contraire selon les demandeurs.

On peut lire par exemple que « les composantes de la communauté du renseignement [des États-Unis] doivent parfois collecter des renseignements d’origine électromagnétique en vrac dans certaines circonstances, par exemple pour détecter et évaluer les nouvelles menaces ou les menaces émergentes » (considérant 72).

Ou encore que « lorsque la communauté du renseignement [des États-Unis] ne peut pas utiliser des identifiants spécifiques pour cibler la collecte, elle s’efforcera de réduire “autant que possible” le champ de la collecte » (considérant 73).

Enfin, « la priorité est clairement donnée à une collecte ciblée, tandis que la collecte en vrac est limitée aux situations (exceptionnelles) dans lesquelles une collecte ciblée n’est pas possible pour des raisons techniques ou opérationnelles » (considérant 76).

Des ingérences non suffisamment limitées, un accès au juge restreint

De la même manière, l’accord négligerait de limiter l’exploitation des données au strict nécessaire de l’ingérence dans la vie privée. L’utilisation de ce vivier sera limitée à six motifs. Il y a certes l’espionnage, le terrorisme, les armes de destruction massive, mais également « les menaces pour la cybersécurité ». Pour les trois organisations, on serait bien loin des exigences de la CJUE, à savoir « des fins précises, strictement restreintes et susceptibles de justifier l’ingérence ».

Le mécanisme en outre violerait le droit au recours effectif pourtant exigé par la Cour de Luxembourg, en ne prévoyant pas des règles aussi protectrices que celles en vigueur de ce côté de l’Atlantique. Enfin, les requérants se souviennent de l’arrêt Digital Right Ireland. En avril 2014, la CJUE avait épinglé la directive sur la conservation des données parce que justement elle avait oublié d’imposer l’intervention d’une autorité indépendante pour limiter l’accès à ces précieuses informations.

La Quadrature, FDN et FFDN considèrent que ce problème se pose aussi pour le Privacy Shield, puisque la Commission européenne reconnaît elle-même que « selon l’appréciation des autorités nationales de protection des données, le contrôle interne exercé par les délégués à la protection des libertés civiles ou de la vie privée peut être considéré comme “assez solide”, bien que, de leur point de vue, ces délégués ne jouissent pas du degré d’indépendance requis ».

Le front des trois structures n’est pas le seul ouvert contre le Privacy Shield. Digital Right Ireland a également attaqué ce document afin de solliciter son annulation.