Max Schrems et son ONG europe-v-facebook.org mettent en cause la CNDP. (Photo: Peet Sneekes)

Max Schrems et son ONG europe-v-facebook.org mettent en cause la CNDP.  (Photo: Peet Sneekes)

Ce lundi 31 mars, la première chambre du Tribunal administratif devrait fixer une première date pour l’instruction du recours que l’étudiant autrichien Max Schrems a déposé contre la Commission nationale pour la protection des données en matière de protection des données. Petit détail piquant, un avocat ne s’est pas encore constitué dans cette procédure. Selon nos informations, Max Schrems a fait le tour des études d’avocats au Luxembourg, mais en raison de conflits d’intérêt potentiels, il aurait du mal à se trouver un défenseur.

Max Schrems, fondateur de l’association Europe versus facebook (europe-v-facebook.org), a engagé un bras de fer juridique, il y a deux ans, contre Facebook, accusant le réseau social qui a son siège européen en Irlande d’enfreindre les règles sur la protection des données. L’étudiant a mis en cause la législation particulièrement laxiste de l’Irlande en matière de protection et d’utilisation des données.

Depuis les révélations d’Edward Snowden, ex-consultant de NSA, sur les programmes d’espionnage massif que l’agence de sécurité américaine a lancés sur internet, le terrain de chasse de Max Schrems s’est élargi, notamment aux services fournis par Skype, qui a son siège à Luxembourg. Le jeune homme avait saisi l’année dernière la Commission nationale de protection des données (CNPD) pour qu’elle enquête sur le respect de ses droits et libertés fondamentaux à l’égard des traitements de données réalisés par les sociétés Skype Communications et Microsoft Luxembourg.

Les limites de la surveillance

La CNPD avait lancé une enquête, mais l’autorité de contrôle luxembourgeoise n’était pas parvenue à confirmer ni infirmer l’existence du programme Prism et l’accès par la NSA aux données personnelles des utilisateurs de Skype et d’autres services en ligne de Microsoft. Dans un courrier du 15 novembre 2013 que Schrems avait rendu public, la Commission avait dû admettre son incapacité à surveiller l’opérateur de communication au delà du périmètre du Grand-Duché, ses recherches s’étant limitées «forcément» aux activités de Skype Communications et de Microsoft Luxembourg, basées au Grand-Duché.

«En dehors de sa juridiction, il n’appartient pas à la commission d’enquêter, de sorte que ses conclusions ne sont pas de nature à confirmer ou réfuter l’existence des programmes de surveillance massive d’internet de la part des services secrets comme Prism ni à exclure que les systèmes de Microsoft puissent avoir été 'accédés' dans ce contexte, notamment aux États-Unis», avait d’ailleurs expliqué la CNPD dans un communiqué de presse. «Toutefois», ajoutait le texte, «la Commission nationale n’a pas pu déceler d’indice que Skype ou Microsoft concèdent un accès aux données personnelles des utilisateurs de leurs services en ligne ou fournissent des données en dehors des injonctions ponctuelles qui leur sont soumises en conformité des législations nationales applicables dans le domaine répressif et de sécurité publique».

La CNPD estimait en outre que des sanctions envers les deux sociétés luxembourgeoises n’auraient pu être envisagées «qu’en présence d’éléments concrets indiquant une violation de leurs obligations légales et qu’une suspension des transferts de données vers les États-Unis basés sur le dispositif 'Safe Harbor' était inconcevable en l’absence de preuves matérielles ou d’indices laissant présumer un transfert massif de données.»

Positions contradictoires

L’enquête de la CNPD avait été très critiquée par europe-v-facebook.org, qui jugeait «contradictoires» les positions soutenues d’un côté par la Commission luxembourgeoise de protection des données et de l’autre par la Commission européenne. La première considérerait donc que le programme Prism de surveillance massive des communications trouverait une sorte de justification et de base légale dans les accords Safe Harbor, tandis que la seconde a clairement fait savoir qu’en aucun cas ces accords de 2000 ne couvrent le programme d’espionnage massif et systématique de l’agence américaine.

«Une clarification est nécessaire», indiquait l’ONG fondée par Max Schrems, en appellant à une réaction musclée, «conséquente» et uniforme des Européens à l’égard des États-Unis. «Nous nous blâmons nous-mêmes à l’international si nous n’engageons aucune action», explique un communiqué de europe-v-facebook.org.

L’étudiant autrichien avait enjoint la Commission nationale de s’expliquer davantage sur les raisons l’ayant poussée à conclure que le transfert de données vers les États-Unis ne violait pas la réglementation sur le Safe Harbor.

Articles Associés