La Cour de Justice de l’UE explose la “sphère de confiance US”

C’est un vrai coup de tonnerre – l’avez-vous entendu ? – que vient de créer la Cour de justice de l’Union européenne qui invalide une décision de la Commission européenne constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel, condition nécessaire pour que des transferts de données d’utilisateurs européens soient effectués vers les USA, pour leur stockage et analyse.

La Cours, avec une virulence très rassérénante, observe que la Commission européenne a été bien légère à donner ce brevet de bonne conduite aux USA, alors même que les révélations d'[?Edward Snowden] jetaient plus que le trouble sur les agissements des agences de surveillance américaine, et leur collaboration avec les entreprises technologiques.

Maximillian Schrems

Le jugement intervient dans le cadre d’une question préjudicielle – qui permet aux juridictions nationales, dans le cadre d’un litige dont elles sont saisies, d’interroger la Cour sur l’interprétation du droit de l’Union ou sur la validité d’un acte de l’Union – soulevée par un jeune autrichien, Maximillian Schrems, utilisateur de Facebook depuis 2008, qui considérait «qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États- Unis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des États- Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays».

Or, la Commission, au terme de l’accord dit [?Safe Harbor] – sphère de confiance – avec les USA, et d’une décision du 26 juillet 2000, a globalement autorisé ces transferts de données vers les USA. Et c’est ce qu’à répondu à M. Schrems l’autorité irlandaise de contrôle (équivalent local de la CNIL) : la décision européenne faisait, estimait-elle obstacle à l’examen au fond de la protection réelle des données personnelles transférées.

Travail bâclé de la Commission

La Cour de Justice estime que la Commission a mal fait son travail : «la Cour rappelle que la Commission était tenue de constater que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte. La Cour relève que la Commission n’a pas opéré un tel constat, mais qu’elle s’est bornée à examiner le régime de la sphère de sécurité».

En outre, sans même se poser de question sur la qualité de la “protection” assurée aux USA, la Cour remarque qu’elle ne s’applique qu’aux données transférées vers des entreprises privées (membre d’une liste de confiance déclarative), et qu’elle ne concerne ni le gouvernement, ni les agences de renseignement américain.

Qu’en outre, les citoyens européens sont dénués de voies de recours.

Qu’enfin, les autorités américaines peuvent accéder à toutes ces données si elles estiment en jeu «la sécurité nationale, l’intérêt public ou le respect des lois des États-Unis», autant dire en toutes circonstances.

Ça casse

Au final, la Cour de Justice invalide donc l’accord et la décision Safe Harbor, et renvoie à l’autorité de contrôle irlandais le soin de trancher l’affaire au fond.« La Cour déclare la décision de la Commission du 26 juillet 2000 invalide. Cet arrêt a pour conséquence que l’autorité irlandaise de contrôle est tenue d’examiner la plainte de M. Schrems avec toute la diligence requise et qu’il lui appartient, au terme de son enquête, de décider s’il convient, en vertu de la directive, de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles».