Boum ! La Cour de justice de l’Union européenne a suivi les conclusions de son avocat général : elle annule le safe harbor américain, dispositif juridique qui permettait jusqu’alors aux géants comme Facebook de butiner les données personnelles des internautes européens. Les conséquences de ce coup de tonnerre sont multiples, mais pas forcément dramatiques.
La messe a été dite à 9h30 ce matin. La CJUE a finalement annulé le label « Safe Harbor » qu’en 2000, la Commission européenne avait apposé généreusement sur le dos courbé des États-Unis (l'arrêt en français et en PDF). Depuis, les entreprises locales ont eu la possibilité d’aspirer sans mal les données personnelles des utilisateurs, clients, internautes, etc. pour les traiter aux États-Unis. Seules contraintes ? Une procédure d’auto-certification préalable.
Seulement, ce pipeline de l’Europe vers les États-Unis a été, au fil du temps, remis en cause. Un étudiant autrichien, Maximilien Schrems, avait ainsi défié la CNIL irlandaise en mettant à l’index la veine Facebook. Il avait contesté devant les juridictions locales le refus par le Commissaire à la protection des données d’enquêter sur le transfert de ses informations personnelles aux États-Unis. La CNIL irlandaise s’était en effet abritée derrière la décision bruxelloise de 2000 affirmant en substance que celle-ci faisait écran à son contrôle.
Armé des révélations Snowden, cet Autrichien considère au contraire que ce pays est tout sauf une sphère de confiance et qu’il revient aux autorités de contrôle de jouer leur rôle. Le bras de fer s’était ensuite poursuivi jusqu’à la Cour de justice de l’Union européenne, qui a rendu ce matin sa décision. Et c’est peu de le dire, les arguments de Schrems ont bien fait mouche.
Préalablement à cette décision, l’avocat général à la CJUE avait déjà noté que les États-Unis « n’offrent aucune protection réelle des données conservées sur le territoire (...) contre la surveillance de l’État. Cela résulterait des révélations faites par M. Snowden à partir du mois de mai 2013 au sujet des activités des services de renseignement américains, et en particulier de celles de la National Security Agency ». Et celui-ci de poursuivre : « une fois que les données à caractère personnel sont transférées aux États-Unis, la NSA ainsi que d’autres agences de sécurité américaines telles que le Federal Bureau of Investigation (FBI) peuvent y accéder dans le cadre de la surveillance et d’interceptions de masse indifférenciées. »
Safe Harbor ou pas, les CNIL européennes conservent leur pouvoir de contrôle
Pour suivre ces conclusions, la CJUE s’est appuyée sur différentes communications de la Commission européenne qui, en plein scandale Prism, s’était émue de la maltraitance des données personnelles européennes outre-Atlantique. Sans tirer de suite logique de ses constats.
Par exemple, elle avait fait état de ce que « toutes les entreprises participant au programme PRISM [programme de collecte de renseignements à grande échelle], qui permettent aux autorités américaines d’avoir accès à des données stockées et traitées aux États-Unis semblent être certifiées dans le cadre de la sphère de sécurité ».
Elle relevait encore que ce Safe Harbor était devenu « l’une des voies par lesquelles les autorités américaines du renseignement ont accès à la collecte des données à caractère personnel initialement traitées dans l’[Union] » (point 22 de la décision). De même, contrairement aux américains, les citoyens européens n’ont pas la possibilité « d’obtenir l’accès, la rectification ou la suppression de données ou d’exercer des voies de droit administratives ou judiciaires si, dans le cadre des programmes de surveillance des États-Unis, des données à caractère personnel les concernant sont collectées et traitées ultérieurement. »
Dans son arrêt, la CJUE s’est d’abord intéressé aux pouvoirs des autorités de contrôle en Europe. À contre-courant de l’analyse de la CNIL irlandaise, les juges européens estiment que ces autorités doivent pouvoir jouir « de pouvoirs d’investigation », « d’intervention », avec la possibilité « d’interdire temporairement ou définitivement un traitement de données, ou encore du pouvoir d’ester en justice. »
Le message est clair : le label de confiance attribué par la Commission européenne en 2000 aux Etats-Unis ne fait pas écran, quoi qu’en dise la CNIL irlandaise. Ce Safe Harbor n’assure qu’une « présomption de légalité » en rien irréfragable. Elle est donc contestable par quiconque en Europe et les autorités de contrôle européennes « doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences » posées par la directive de 95. Il reviendra alors à la justice européenne, saisie comme ici, de trancher les différences d’interprétation.
La décision « safe harbor américain » de la Commission est invalidée
Après avoir remis au premier plan les CNIL nationales, la CJUE va s’attaquer frontalement à la décision de 2000 en adressant une pluie de reproches à Bruxelles. Déjà, la Commission n’aurait pas dû laisser perdurer son label après l’orage Snowden. Celle-ci aurait dû « vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause » était « toujours justifiée en fait et en droit. »
Mais il y a plus grave encore. Dès l’origine, cette décision de Bruxelles était bourrée de défaillances. Dans ses annexes, il était par exemple prévu que la sphère de protection pouvait être crevée par les autorités américaines dès lors qu’étaient en jeu – notamment - des « exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des États-Unis. »
Des exceptions très vastes, non bordées outre-Atlantique, qui ont agacé la CJUE, elle qui n’accepte que des atteintes strictement nécessaires. Ce passage issu de l’arrêt est éclairant :
« n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données » (point 93 de la décision).
En particulier, ajoute-t-elle en légitimant d’une certaine manière les révélations Snowden, « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ». Et s’ajoute à cet état des lieux catastrophique l’impossibilité pour les citoyens européens de disposer de voie de recours aux États-Unis pour faire corriger ces traitements…
Bref, la CJUE a donc fusillé la décision de 2000 tout en demandant aux CNIL européennes de revenir au premier plan, elles qui étaient restées bien trop frileuses depuis 2013.
Les conséquences juridiques de cette annulation
Quelles sont les conséquences juridiques de cette décision ? Pour le cas présent, la balle est de retour maintenant dans le camp irlandais. Il reviendra à l'autorité de contrôle nationale de mener à bien ses investigations en analysant le fond de la saisine de M.Schrems. Au final, la Cour pourrait se réinviter au débat pour trancher les différentes interprétations éventuelles.
Au-delà, il faut savoir que des milliers d’entreprises américaines profitaient du parapluie du safe harbor pour butiner et traiter ces informations sensibles (leur liste sur le site des autorités américaines). Et si on suit la directive de 1995 sur les données personnelles, lorsqu’un pays n’offre pas (ou plus) de niveau de protection adéquat, normalement le transfert des données est interdit.
Juridiquement, il ne faut pas aller trop vite car le pipeline des données aspirées par les géants américains risque bien de ne pas être à long terme obstrué. L’article 26 de la directive précitée prévoit en effet tout un régime de denses exceptions.
Spécialement, les États membres ont toujours la possibilité de prévoir un transfert de données à caractère personnel même vers les « pays tiers n'assurant pas un niveau de protection adéquat ». Ce régime est évidemment soumis à plusieurs conditions, alternatives. Par exemple, la personne concernée peut avoir « indubitablement donné son consentement au transfert envisagé ». Autres cas, le transfert peut être nécessaire à l’exécution d’un contrat entre cette personne ou un tiers, et le responsable du traitement. De même encore, un État membre peut autoriser ce transfert dès lors que l’entreprise offre elle-même « des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes », etc.
En somme, il sera possible par exemple de corriger l’annulation du safe harbor par une série de dispositions contractuelles. Des clauses types sont d’ailleurs avalisées de longue date par la Commission européenne pour satisfaire ce champ exceptionnel (voir le déroulé sur le site de la CNIL).
Alternativement, des Binding Corporate Rules (BCR), qui sont des codes de conduite interne, permettent eux aussi de définir ce fameux niveau de protection suffisant aux données transférées hors Union européenne. « Elles constituent une alternative aux principes du Safe harbor pour les transferts vers les États-Unis », décrit la CNIL dans ce PDF.
Les conséquences commerciales de cette annulation
Bref, cette décision ne devrait pas engendrer de méga-révolution, même si des problématiques vont perdurer un temps durant. Cependant, il ne faut pas le négliger : l’arrêt de la CJUE est avant tout un tir de canon à l’égard des entreprises américaines et au-delà, du système de surveillance de la NSA. Les États-Unis n’étant plus une sphère de confiance, le public comprendra assez rapidement qu’ils sont désormais une sphère de défiance.
Même si difficilement quantifiables à cet instant, les conséquences commerciales devraient être lourdes. D’ailleurs, les prestataires de cloud américains s’étaient déjà plaints des effets des révélations Snowden sur leurs activités. Un rapport publié en 2013 par la Cloud Security Alliance chiffrait à 56% le nombre d’entreprises non-résidentes américaines désormais moins enclines à utiliser des fournisseurs de cloud basés aux Etats Unis. Comme l’affaire Prism, la décapitation du Safe Harbor va donc jeter un voile de suspicion sur la réputation des acteurs américains, un critère fondamental pour qui veut prospérer en ligne.
Inversement, cette décision va ouvrir des enjeux en termes de souveraineté de l’Europe, comme nous le signale sur Twitter l’inévitable députée Laure de la Raudière (Les Républicains), une des spécialistes des questions du numérique.
Enjeux de souveraineté de l'Europe et de la France, à l'ère du numérique... Décision majeure de la CJUE #StayTuned https://t.co/m9buwnhG79
— Laure de La Raudière (@lauredlr) 6 Octobre 2015
De son côté, l’institut de souveraineté numérique avait déjà anticipé en ce sens cette décision lorsqu’il a salué les observations de l’avocat général, qui concluait pour la remise en cause. Selon Bernard Benhamou, secrétaire général de cette association, « en réaffirmant le rôle des autorités nationales de protection des données personnelles vis-à-vis de l’accord Safe Harbor, ces conclusions placent aussi le principe de souveraineté sur les données au cœur de la doctrine européenne ». Dans un tout frais communiqué, ce même ISN voit dans cette décision « un signal franc pour la protection des données personnelles des européens ». Et celui-ci d’ajouter que « les données personnelles des citoyens européens doivent désormais être protégées à la fois par des mesures d’encadrement juridique adéquates et par des mesures de protection technologiques en particulier cryptographiques. En effet, au-delà des services existants, la montée en puissance des nouveaux objets connectés et l’évolution des algorithmes de traitement des données en masse (big data), rendent plus nécessaire encore la protection de ces données. »
Nous reviendrons plus en avant sur les réactions attendues de part et d’autre de l’Atlantique.
Commentaires (59)
.
Youpiiiiiiiiiiiiiiiiiiiiii ! ! ! ! ! ! ! ! 8-))))))))))))))))))))))))))))))))
Très bonne nouvelle (et très bon article
" />)
Il était temps ! Encore une prevue que la Commission n’agit pas dans l’intérêt des Européens, contrairement à la Cour de Justice.
Victoire !!!
Ayant reçu 17 fois en 3 jours le fameux “Vous avez plus d’amis sur Facebook que vous ne le pensez” . Le président de la CJUE se forgea un avis assez tranché sur la question.
Voila une bonne nouvelle, en espérant qu’elle sera suivi par du concret.
Par exemple, la personne concernée peut avoir « indubitablement donné son consentement au transfert envisagé ». Autres cas, le transfert peut être nécessaire à l’exécution d’un contrat entre cette personne ou un tiers, et le responsable du traitement
Mouais, en clair un changement de CGU et hop.
Cette décision ressemble plus à un coup d’épée dans l’eau
Hey ben voila! Même si les effets à moyen long terme reste à déterminées, ça a au moins le mérite de poser un principe face au ricain. Et ça, c’est bien
" />
Elle dit aux instances nationales: faites votre travail, arrêtez de geindre sur les GAFA et prenez vos responsabilités.
Attention on sent à peine le parti pris dans les prmeière lignes de l’article :)
Enfin, on va arrêter d’abreuver les ricains de nos données !!!
Merci pour cet article très intéressant !
" />
" />
Bonne nouvelle … enfin on espère !
ça, c’est de l’information éclairée ! Merci Marc !!!
Excellente nouvelle :). Curieux et très intéressé de voir la suite.
A ceux qui se plaignent ou vont se plaindre d’une publication tardive de mon actu :
Avec toutes les données collectées depuis des années, ils peuvent déjà faire un profil pour chaque individu européen, à l’insu de notre plein gré
Quand on voit comment l’instance française est dotée…
Bravo, M. Rees.
Excellent article !
Une réaction de notre secrétaire d’état (ou d’un membre du gouvernement ?)
C’est sur. Il y a une loi sur le numérique, c’est le moment pour que nos politiciens fassent leur taf (se donner des moyens et faire des vrais débats et réflexions).
le jeu de mot du sous titre
" />
Vu comment les pouvoirs de la CNIL ont été rabotés depuis 1978, je doute que la prochaine loi ne change la donne :)
Excellent article, merci.
Chouette, le réseau pourra fonctionner un chouia plus vite
" />
Merci pour l’article!
C’est “marrant”, pendant qu’on détruit (pour une bonne raison) la sphère de confiance USA / EU, les pays européens votent des lois qui détruisent toute vie privée à leurs citoyens.
Au final on coupe le pont transatlantique, mais on refait les mêmes erreurs de notre côté. Ironique non ?
Super article, merci !
Encore bravo pour cet article très clair sur un sujet compliqué!
La preuve vos collègue de zdnet n’ont pas tardé à le citer!
et cette explication sur les conséquences nuancées de cette décision, un petit bijou.
Bravo.
Merci pour cet article accessible a tous !
Mettre des données personnelles sur Internet, qu’elle drôle d’idée
" />
Merci pour cet éclairage
" />
Le plus intéressant reste à mon avis à venir avec les réactions outre-Atlantique, et les décisions de la CJUE sur les PJL Renseignement.
Ils vont surement dire qu’ils ne comprennent pas cette décision …
" />
Pour eux tout est OK !
Bonne nouvelle. Bon article.
" />
Cool
A voir ce que ca va donner maintenant, et sous quel délai.
Changement de GCUs ? Localisation des serveurs et datacenters en Europe ? garanties accrues des prestataires US ? Ou bien rien, peut-être…
Perso je travail dans une entreprise d’hébergement qui vend entre autre du cloud Amazon (AWS) a ses clients (français pour la plupart), et je suis certains a 90% que la direction va se torcher complètement avec cet événement .
Un peu comme la charte signée par plein d’entreprises a l’époque du PJLR : On l’a signé (ma boite) pour la pub d’être mentionné dans cette charte, outre ça tout le monde s’en cogne. Et je pense que c’est pareil pour 98% des autres signataires.
Tout ça c’est que de la tchatche.
Désolé pour mon avis de personne blasée, mais dur de ne pas l’être quand on voit le nombre de luttes justifiée faces auxquelles on échoue car au final, tout le monde s’en tape s’il y a un moindre profit a en tirer. :)
Sortis par la porte de la CJUE ils reviendront par la fenêtre du TAFTA.
C’est quitter l’UE qu’il faut si on veut avoir la paix.
Bonjour, nous vous informons que Facebook change ses conditions générales d’utilisation. Faites comme d’habitude, validez sans lire, ça nous arrange. De toutes façons, si vous ne validez pas, vous ne pourrez plus vous connecter.
“Vous acceptez que l’intégralité de vos données personnelles soient transférés dans des datacenters aux USA, et qu’une copie soit transmise à tous les organismes gouvernementaux dudit pays automatiquement, à des fins de lutte contre votre vie privée”.
Ça va passer comme une lettre à la poste.
La Commission Européenne n’apprécie visiblement pas le camouflet qu’elle vient de se prendre. Twitt
Mieux vaut tard que jamais … Peut-être se décidera-t-on enfin à se débarrasser de ces pseudo “libérateurs” ( plutôt leurs ayants-droit ! ) , allant, comme à Téhéran, fermer leur officine de mouchards à Paris : “l’ ambassade” US !… ( On peut toujours rêver : après tout, l’accueil de Lindbergh ou de Byrd en tant que Héros, c’était aussi du rêve !…)
Il me semble que les serveurs de stockages de mails de Microsoft sont à Dublin ( quand on se connecte ils ont les prefixes dub, et il y a eu un jugement pour lesquels Microsoft ne voulaient pas dévoiler les emails car stockés sur un serveurs en Irlande.)
Idem ici à Dublin, il y a un Datacenter Google et la construction d’un second vient d’etre annoncé il y a peu dans la presse.
La construction d’un super DataCenter dans l’ouest de l’Irlande par Apple est également prévue
@Marc_Rees:
A-t-on avis est ce que cela peut jouer sur le bras de fer opposant Microsoft et la justice américaine vis à vis des mails qui sont entreposés en Irlande ?
Ce qui est encore plus dingue, je trouve, c’est que la commission (et Tous les hommes politiques au pouvoir) a continué à dire amen après les révélations de Swoden… Et c’est une décision de justice qui remets du bon sens !
Excellent article, merci :)
C’est juste moi ou personne ne se souvient de la loi sur le renseignement voté en juillet dernier par nos parlementaires :https://fr.wikipedia.org/wiki/Loi_relative_au_renseignement Vous savez, celle qui prévoit des petites boites noires chez les hébergeurs, tout ça.
Honnêtement, est-ce que je préfère que mes données soient analysées par des flics américains ou par les nôtres ?
Faut que ca sédimente dans ma tête. J’y reviendrai. Je me suis levé tôt cette nuit et suis sur le sujet depuis… #yeuxquipiquent.
Il y a des règles à respecter, même pour les lois, demain, un dictateur prend le pouvoir, et on lui laisse tout pouvoir de DPI (administrativement)
Je ne voudrais plus vivre dans un tel pays
Un grand merci Marc pour cet article très fouillé …
" />
" />
" /> 
" />
" />
" />
Merci pour cet article :) Merci à cet étudiant autrichien !!
Pour moi l’ère du numérique a commencé en 1991 avec mon premier PC, certes il n’y avait que les BBS et pas de syphonage des données perso à travers les connexions …
" />
Mme de la Raudière est bien gentille et j’apprécie son engagement, mais avec plus de 20 ans de retard, j’ai bien peur que tout cela ne soit qu’un coup d’épée dans l’eau … On est quand même en 2015 …