POLITIQUE & INSTITUTIONS — Justice

Transfert de données

Max Schrems, révélateur d’un malaise



À défaut d'une directive réformée en vigueur, la Cour de justice de l'Union européenne devrait jouer le rôle d'arbitre dans une affaire mêlant enjeux politiques et économiques. (Photo: Benjamin Champenois/archives)

À défaut d'une directive réformée en vigueur, la Cour de justice de l'Union européenne devrait jouer le rôle d'arbitre dans une affaire mêlant enjeux politiques et économiques. (Photo: Benjamin Champenois/archives)

La Cour de justice de l’Union européenne rendra ce matin son arrêt dans l’affaire dite Max Schrems, du nom de l’étudiant autrichien qui a déposé plainte contre Facebook en Irlande et un recours contre Skype au Luxembourg. Le transfert de données de citoyens européens vers les États-Unis ainsi que la réalisation d’un marché digital unique en Europe sont au centre de cette affaire.

La Cour de justice de l’Union européenne poussera-t-elle sur le bouton pour enclencher une «bombe» en matière de transfert de données? Plutôt enclins à suivre l’avis de l’avocat général, les juges de la CJUE doivent se prononcer ce mardi sur l’affaire C-362/14 concernant le transfert de données d’abonnés européens de Facebook vers les États-Unis. 

Une affaire qui trouve son origine dans les différentes plaintes déposées par l’étudiant autrichien Max Schrems contre Facebook – rejoint par quelque 25.000 autres usagers - via l’Autorité irlandaise de protection des données, le siège européen du réseau social étant situé en Irlande.

Échaudé par les révélations d’Edward Snowden sur les pratiques plutôt intrusives de la NSA, Max Schrems considère en effet que la protection des données personnelles n’est pas suffisante aux États-Unis. 

«La surveillance exercée par les services de renseignement américains est massive et non ciblée», indiquait pour sa part l’avocat général de la CJUE, Yves Bot, dans son avis rendu le 23 septembre. Le contre-pied du tribunal pénal irlandais avait rejeté la plainte de Max Schrems.

L’avocat général a indiqué que Safe Harbor isn’t safe.

Viviane Reding, députée européenne (PPE)

L’ancienne commissaire (2010-2014) en charge de la justice, des droits fondamentaux et de la citoyenneté ne veut pas anticiper l’arrêt qui sera rendu, mais elle connaît bien la matière, ayant été à la manœuvre des travaux de réforme de la directive encadrant la protection des données, toujours en cours.

«La Cour de justice va devoir clarifier une fois de plus le droit européen», regrette Viviane Reding. «Les États-Unis sont régulièrement demandeurs d’exceptions en matière de protection des données. Les acteurs européens qui respectent quant à eux la réglementation communautaire se trouvent discriminés à cet égard.»

Une situation latente

La directive stipule que le transfert de données n’est pas possible vers des pays n’offrant pas le niveau de protection adéquat. C’est le cas pour les États-Unis. La Commission européenne, en accord avec les autorités américaines, y a, pour contourner la difficulté, greffé depuis 2000 l’accord Safe Harbor censé offrir suffisamment de garanties de la part des entreprises américaines. Quelque 4.400 entités y ont souscrit à ce jour, dont les principales sociétés de l’ICT.

Deux d’entre elles, Microsoft et Skype, ont leur siège au Luxembourg. Le service de conversation en ligne avait fait l’objet «d’un recours en réformation sinon en annulation» de Max Schrems via son avocat Me Jean-Jacques Schonckert. Il demandait que la Commission nationale pour la protection des données (CNPD) puisse lui fournir son dossier et constatait la faiblesse de Safe Harbor dans le cas Skype. L’étudiant avait fini par faire marche arrière dans ce cas. 

Pour l’avocat général Yves Bot, même si un pays tiers est censé disposer d’un niveau de protection adéquat, les autorités de contrôle de ce pays peuvent, si elles le jugent nécessaire, tout de même suspendre le transfert de données.   

C’est potentiellement une petite bombe juridique.

Olivier Reisch, counsel IP/TMT, Linklaters

«Si la Cour décide que Safe Harbor ne vaut plus rien, toutes les entreprises qui se sont basées sur ce schéma, dont les filiales de groupes américains basés en Europe, vont devoir trouver un autre modèle et la loi américaine devra être remaniée, précise Olivier Reisch. En attendant une solution, l’alternative pourrait être de recourir à la voie contractuelle. Mais celle-ci n’offre pas non plus une garantie de supervision par une autorité indépendante.»

Car les faiblesses de Safe Harbor ont déjà été signalées depuis 2013 par la Commission européenne qui a identifié plusieurs champs d’amélioration, dont l’importance de disposer d’une autorité indépendante qui soit chargée de vérifier la compliance des entreprises signataires. Cette surveillance est actuellement effectuée par la Federal Trade Commission, mais elle ne dispose pas de droit de regard sur le travail des agences de renseignement américaines.

Alors que l’accord «Umbrella» a été finalisé le 9 septembre au sujet de l’échange de données personnelles entre les États-Unis et l’Europe pour des besoins de prévention et d’investigation – par exemple du terrorisme –, la controverse Safe Harbor apporte une incertitude potentielle dont le marché se passerait volontiers.

La protection des données est un enjeu politique et économique.

Yves Reding, CEO d’EBRC

«Avec la globalisation de l’économie, l’émergence du big data et les réseaux sociaux, les données deviennent une mine d’or.» 

Une transition vers l’économie de la donnée qui se fera de manière inéluctable et qui impliquera une valorisation de certains groupes à l’aune des données qu’ils possèdent et qu’ils sont capables de traiter.

«Nous demandons un cadre juridique européen clair pour que la valeur ajoutée puisse rester au maximum en Europe, que les données qui quittent le continent disposent du plus haut niveau de protection et que, dans le même temps, les barrières sautent au sein des 28 pays pour créer un véritable marché unique en Europe», ajoute Yves Reding.

La conservation des données sensibles en Europe devient donc, dans ce contexte, un enjeu économique majeur. «Si la décision concerne les États-Unis, on peut se poser la question des autres régimes en vigueur», ajoute Olivier Reisch, citant la Chine ou l’Inde. Et Yves Reding de faire remarquer que d’autres marchés se ferment, à l’instar de la Russie qui a mis en place ses propres barrières virtuelles.

La plus grande faiblesse des pays européens ne pourrait pas tant être les dispositifs des autres grandes puissances que la lenteur et la difficulté des 28 à former un seul bloc et à parler d’une seule voix.