Données personnelles : les États-Unis, une sphère d’insécurité ?

Données personnelles : les États-Unis, une sphère d’insécurité ?

On dirait le sûr

24

Données personnelles : les États-Unis, une sphère d’insécurité ?

Des dizaines de pages de conclusions. Un document-fleuve, mais d’une importance cruciale, traitant de la capacité pour les entreprises américaines à aspirer les données des européens pour les retraiter outre-Atlantique. Next INpact vous propose une explication de cette affaire opposant à l’origine un petit Poucet, Maximillian Schrems, à l’ogre Facebook.

Pour comprendre l’enjeu soulevé par ce dossier, il faut remonter à la préhistoire, cette fameuse directive du 24 octobre 1995 relative « à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Avec elle, les transferts de ce pétrole numérique vers les pays qui n’assurent pas « un niveau de protection adéquat à de telles données » sont par défaut interdits. 

Il y a cependant une brèche, celle du pays justifiant d’un label de confiance, celui du safe harbor. En 2000, la Commission européenne avait généreusement estampillé comme tel les États-Unis et ses milliers d’entreprises à l’affut de la donnée européenne : voilà en effet des acteurs qui présentent de solides garanties pour être qualifiés juridiquement de « port sûr », de « sphère de sécurité ». Ils peuvent donc importer ces données sans l’ombre d’un risque pour leurs titulaires, puisque les garanties offertes ici, sont du même ordre là-bas.

Nous caricaturons un peu, car il y tout de même des contraintes. Les entreprises américaines qui s’engagent dans ce programme ont l’obligation de souscrire à un « code de conduite », une démarche d’autocertification où elles s’engagent à informer les personnes sur les finalités de la collecte, le sort des données à des fins marketing outre des obligations de sécurité et d’intégrité, de droit au recours. Évidemment, ces principes peuvent aussi être limités par le pays hôte notamment pour des questions de sécurité nationale. De fait, en 2013, 3 200 entreprises américaines avaient signé ce bel engagement.

Snowden, l’avis de pollution dans le port sûr

Problème, depuis 2000, les capacités de surveillance de la NSA, révélées par l’affaire Snowden, ont quelque peu souillé le port sûr de l’Oncle Sam : la décision de Bruxelles est-elle bien toujours d’actualité ? Dans une affaire née en Irlande, l’avocat général de la Cour de justice de l'Union européenne, Yves Bot doute, et pas qu’un peu : « Un certain nombre de révélations ont récemment mis en lumière l’existence de programmes américains de collecte de renseignements à grande échelle. Ces révélations ont jeté le trouble sur le respect des normes du droit de l’Union lors de transferts de données à caractère personnel vers des entreprises établies aux États-Unis et sur les faiblesses du régime de la sphère de sécurité. »

Ce dossier a été lancé dans le ciel européen par un étudiant autrichien. M.Schrems avait intenté une action devant les juridictions irlandaises, avec pour cible Facebook. Pour résumer, il contestait le refus par le Commissaire à la protection des données (la CNIL nationale) d’enquêter sur le stockage par le réseau social de ses données sur le territoire américain. Selon le résumé d’Yves Bot, il a argué que nos alliés « n’offrent aucune protection réelle des données conservées sur le territoire (...) contre la surveillance de l’État. Cela résulterait des révélations faites par M. Snowden à partir du mois de mai 2013 au sujet des activités des services de renseignement américains, et en particulier de celles de la National Security Agency

Si la CNIL irlandaise avait repoussé sa demande, c'est parce qu'il n’apportait aucune preuve que la NSA ait bien accédé à ses données. Surtout, la décision de la Commission européenne fait écran : si Bruxelles nous dit que les États-Unis sont un safe harbor, alors c’est un safe harbor.

La Haute Cour de justice irlandaise avait par la suite préféré faire porter ce dossier devant la Cour de justice de l’Union européenne. Certes, l’intervention des autorités américaines peut se justifier par des impératifs de sécurité nationale et la prévention de la criminalité grave, mais « la NSA et d’autres organes similaires [ont] commis des excès considérables. Si la Foreign Intelligence Surveillance Court, qui intervient dans le cadre de la loi de 1978 sur la surveillance des services de renseignement étrangers, exerce une supervision, la procédure devant elle serait toutefois secrète et non contradictoire. De plus, outre le fait que les décisions relatives à l’accès aux données à caractère personnel seraient prises sur le fondement du droit américain, les citoyens de l’Union n’auraient aucun droit effectif d’être entendus sur la question de la surveillance et de l’interception de leurs données ». Voilà donc les griefs, toujours résumés par Yves Bot, qui poursuit : « une fois que les données à caractère personnel sont transférées aux États-Unis, la NSA ainsi que d’autres agences de sécurité américaines telles que le Federal Bureau of Investigation (FBI) peuvent y accéder dans le cadre de la surveillance et d’interceptions de masse indifférenciées ».

On est ainsi bien loin du sacro-saint principe de proportionnalité qui pilote bon nombre de législations raisonnées sur le traitement des données personnelles.

Suite à cette transmission, la CJUE se doit désormais de déterminer si oui ou non les États européens sont toujours liés par la constatation faite en 2000 par Bruxelles, ou bien s’ils pouvaient s’en défaire. Dans ce cas, revient-il aux CNIL de chaque État de mener à bien leur propre enquête, sous l’aiguillon du droit au respect de la vie privée et à la protection des données à caractère personnel ?

L’attitude très frileuse de la Commission européenne

La CJUE n’a pas encore rendu son arrêt, attendu dans les mois à venir, mais les conclusions de l’avocat général rendues hier sont précieuses (notre résumé). Elles révèlent ainsi que la Commission européenne s’est montrée extrêmement prudente à l’idée de voir fructifier la plainte de M. Schrems, alors qu’elle n’a eu de cesse de dénoncer en façade la politique de surveillance américaine.

Lors de l’instruction, elle a par exemple considéré que le réexamen de la décision de 2000 (dite 2000/520) relevait de sa seule compétence, non des CNIL européennes. En outre, selon la synthèse de M.Bot, « M. Schrems n’aurait pas avancé d’arguments spécifiques donnant à penser qu’il courrait un risque imminent de subir des dommages graves en raison du transfert de données entre Facebook Ireland et Facebook USA. Au contraire, en raison de leur nature abstraite et générale, les inquiétudes exprimées par M. Schrems à propos des programmes de surveillance mis en œuvre par les agences de sécurité américaines seraient identiques à celles qui ont conduit la Commission à entamer le réexamen de la décision 2000/520 ». Bref, pas d’empressement surtout que le safe harbor est en phase de renégociation depuis plusieurs mois.

L’indépendance des CNIL nationales

L’analyse n’est absolument pas partagée par l’avocat général : la constatation faite en 2000 par la Commission « ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle (...) Si les autorités nationales de contrôle sont saisies dans le cadre de plaintes individuelles, cela ne les empêche pas, selon nous, en vertu de leurs pouvoirs d’investigation et de leur indépendance, de se faire leur propre opinion sur le niveau général de protection assuré par un pays tiers et d’en tirer les conséquences lorsqu’elles statuent sur des cas individuels ».

Cette sacro-sainte indépendance des CNIL est d'ailleurs suggérée par la directive de 1995 : « l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel ». Ou par la jurisprudence de la CJUE « cette indépendance exclut notamment toute injonction et toute autre influence extérieure sous quelque forme que ce soit, qu’elle soit directe ou indirecte, qui seraient susceptibles d’orienter leurs décisions et qui pourraient ainsi remettre en cause l’accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel. »

Bref, les gardiennes des données personnelles doivent pouvoir agir sans entrave, « leurs pouvoirs d’intervention doivent demeurer entiers même lorsque la Commission a adopté une décision ».  De plus, « si les autorités nationales de contrôle étaient liées de manière absolue par les décisions adoptées par la Commission, cela limiterait inévitablement leur totale indépendance. »

Si récapitule sa position : d’un côté, les États membres se doivent d’appliquer les décisions de la Commission européenne, mais ils peuvent, notamment via les CNIL, pouvoir mener des investigations pour jauger les traitements vers l’étranger, et contrôler leur adéquation à la directive de 95. Il épingle du coup le Commissaire irlandais à la protection des données : l’interprétation du droit de l’Union « qui reposerait sur une présomption irréfragable que les droits fondamentaux seront respectés (…) doit être considérée comme étant incompatible avec l’obligation des États membres d’interpréter et d’appliquer le droit dérivé de l’Union d’une manière conforme aux droits fondamentaux ». En conséquence, la décision de 2000 n’est qu’une présomption « réfragable », destinée à lever le principe de l’interdiction d’exportation des données personnelles. Elle n'est pas faite pour empêcher sa remise en cause, par qui parviendrait à démontrer qu’il y a des défaillances dans la tuyauterie.

La décision safe harbor de Bruxelles vs les pouvoirs des CNIL

Le dossier Schrems a occasionné une interprétation divergente de la décision de 2000. Explications : l’un de ses articles ouvre en effet aux autorités de protection nationale une série de voies pour agir malgré tout. C’est l’hypothèse « où il est fort probable que les principes sont violés; où il y a tout lieu de croire que l’instance d’application concernée ne prend pas ou ne prendra pas en temps voulu les mesures qui s’imposent en vue de régler l’affaire en question; où la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves; et où les autorités compétentes des États membres se sont raisonnablement efforcées, compte tenu des circonstances, d’avertir l’organisation et de lui donner la possibilité de répondre » (article 3 paragraphe 1, sous b de la décision de 2000).

Pour la Commission européenne, les pouvoirs des CNIL seraient uniquement limités à ces cas manifestement flagrants. L’appréciation est balayée par l’avocat général de la CJUE : « Comme l’ont indiqué, en substance, les gouvernements belge et autrichien lors de l’audience[cette] issue de secours (….) est tellement étroite qu’elle est difficile à mettre en pratique. Elle exige des critères cumulatifs et place la barre trop haut ». Pire, droit de l’Union sur les cuisses, il pense que la Commission n’avait surtout pas la compétence « de restreindre les pouvoirs des autorités nationales de contrôle » par le biais de son constat.

Ainsi, quoi qu’en dise Bruxelles, « pour assurer une protection appropriée des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, les autorités nationales de contrôle doivent être habilitées, en cas d’allégations faisant état de violations de ces droits, à mener des enquêtes. Si, à l’issue de telles investigations, ces autorités considèrent qu’il existe dans un pays tiers couvert par une décision d’adéquation des indices sérieux d’atteinte au droit des citoyens de l’Union à la protection de leurs données à caractère personnel, elles doivent pouvoir suspendre le transfert de données vers le destinataire établi dans ce pays tiers ». Pour Bort, la décision de la Commission européenne ne fait donc pas écran, la CNIL irlandaise aurait dû pouvoir enquêter suite à la plainte de M. Schrems.

La décision de la Commission européenne est datée

il y a une autre difficulté très juridique. Normalement, lorsque la CJUE est appelée à examiner la légalité d’une décision, elle doit se placer à la date où celle-ci a été prise, soit ici en 2000. Yves Bot considère qu’il est désormais nécessaire de faire évoluer cette jurisprudence : en effet, « une telle règle conduirait sinon à ce que, plusieurs années après l’adoption d’une décision d’adéquation, l’appréciation de validité à laquelle la Cour doit procéder ne puisse prendre en compte des événements qui se sont produits ultérieurement. »

Cette règle verserait donc dans l’absurdité, en interdisant de prendre en compte de nouveaux évènements survenus dans les 15 ans suivantes. Pour la contourner, Yves Bot use d'une délicieuse dextérité juridique : la Commission européenne aurait dû réévaluer régulièrement sa décision initiale et « si, à la suite de nouveaux événements intervenus entre-temps, la Commission ne modifie pas sa décision, c’est qu’elle confirme implicitement, mais nécessairement, l’appréciation effectuée initialement. Elle réitère ainsi son constat selon lequel le pays tiers concerné assure un niveau de protection adéquat aux données à caractère personnel transférées. Il revient [donc] à la Cour d’examiner si ce constat continue à être valable malgré les circonstances intervenues postérieurement ». 

Les États-Unis n’offrent pas un niveau de protection adéquat

En attendant l'arrêt de la CJUE, Yves Bot dresse un sombre état des lieux. En quête d’une analyse d’ensemble de la législation américaine par la Commission européenne, il revient bredouille. Alors qu’en Europe, « prévaut la conception selon laquelle un dispositif de contrôle externe sous la forme d’une autorité indépendante », outre-Atlantique, les agences de sécurité ont la possibilité de butiner les données personnelles des Européens stockées chez Facebook, lequel n’a pas la possibilité de s’y opposer. En face, les citoyens de l’Union, eux, n’ont aucun droit au recours dans ces traitements, pas de protection juridique.

Ces constats ne sont pas nés de son imagination fertile, mais des propos de la Commission elle-même. En 2013, elle a dégommé les programmes de surveillance américains, regrettant qu' « il n'existe, en outre, aucune possibilité, que ce soit pour les personnes concernées de l'UE ou des États-Unis, d'obtenir l'accès, la rectification ou la suppression de données ou d'exercer des voies de droit administratives ou judiciaires si, dans le cadre des programmes de surveillance des États-Unis, des données à caractère personnel les concernant sont collectées et traitées ultérieurement. »

Yves Bot devine donc non seulement une « ingérence extrêmement sérieuse » des autorités américaines, mais en plus une ingérence totalement disproportionnée, car non bordée par des dispositions claires : « l’accès aux données à caractère personnel transférées dont disposent les services de renseignement américains couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données transférées, y compris le contenu des communications, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif d’intérêt général poursuivi. »

Il parle aussi d'une « surveillance massive et non ciblée », « disproportionnée par nature » qui constitue « une ingérence injustifiée dans les droits garantis » par la Charte. Avec un bilan peu glorieux : pourquoi considérer les États-Unis comme une sphère de sécurité alors que ce pays s’autorise ce que nous, Européens, nous nous interdisons ? C’est donc un sec réquisitoire contre la décision de la Commission européenne, qui non seulement est allée au-delà des limites imposées par le droit de l’Union, mais n’a pas tiré les conséquences de ses propres constats émis lors des révélations Snowden. Une passivité fautive : « La Commission aurait dû suspendre l’application de la décision 2000/520. »

La Commission s’est évidemment défendue, expliquant qu’elle négocie actuellement avec les États-Unis pour réformer la sphère de sécurité. D’ailleurs, pas plus tard que le 8 septembre, Bruxelles a annoncé la finalisation d’un accord entre l'Union européenne et les États-Unis relatif à la protection des données à caractère personnelle. Ce document, secret, prévoierait la possibilité pour les citoyens européens d’agir devant les tribunaux américains. Il doit toutefois encore être avalisé par le Congrès pour aboutir.

Pour l’avocat général de la CJUE, c’est sans doute très bien, mais d’un, la Commission ne s’est pas montrée très regardante dans le passé, et de deux, « dans l’intervalle, les transferts de données à caractère personnel vers les États-Unis doivent pouvoir être suspendus à l’initiative des autorités nationales de contrôle ou à la suite de plaintes déposées auprès d’elles ». Il est donc urgent d’arrêter l’incendie, même si des mesures antifeu sont négociées calmement. Et dernier argument imparable : « Si la Commission a décidé d’entamer des négociations avec les États-Unis, c’est bien que, au préalable, elle a considéré que le niveau de protection assuré par ce pays tiers n’était plus adéquat ».

Au final, l’avocat général a conclu que les CNIL nationales devaient pouvoir enquêter sur le niveau de protection d’un pays tiers, ici les États-Unis, et au besoin suspendre les flux de transferts en cas de risque. Dans tous les cas, la décision de 2000 la Commission européenne doit être considérée comme invalide car elle vient labelliser une sphère qui est tout sauf de sécurité : « l’existence d’une dérogation qui permet d’une manière aussi générale et imprécise d’écarter les principes du régime de la sphère de sécurité empêche par elle-même de considérer que ce régime assure un niveau de protection adéquat aux données à caractère personnel qui sont transférées aux États-Unis depuis l’Union ». Sans surprise, ses conclusions ont été applaudies par la Quadrature du Net.

La CJUE est libre de suivre ou non ces conclusions

Dans son arrêt attendu dans plusieurs mois, la Cour est évidemment libre de les suivre, ou non. L’alternative est douloureuse : soit la sphère de sécurité est percée, soit elle est validée à l'aulne des négociations en cours.

Si la Cour valide malgré tout, son message serait aussi celui d’un blanc-seing délivré sur des opérations de surveillance potentiellement massives. Si elle remet en cause, les autorités de contrôle européennes seraient appelées à agir au plus vite afin de remuscler leur rôle face aux mastodontes américains. Ceux-ci pourraient être incités à gérer par contrat une partie des bugs dénoncés (les BCR, biding corporate rules). Les conséquences philosophiques et juridiques d’un tel scénario pourraient être aussi économiques , à savoir l'incitation forte des acteurs à relocaliser en Europe, des serveurs de traitement des données personnelles. Le dossier devrait nécessairement intéresser les services fiscaux, en quête de leviers pour reterritorialiser d’épais bénéfices.

Commentaires (24)


Joli sous-titre


Oui, et ça me rappelle un vieux sketch des guignols à l’époque de la première guerre en irak : “On tirait le scud”

 

https://www.youtube.com/watch?v=7xVm48qQ9_g


Le soucis c’est que ce n’est pas bcp mieux non plus en europe …




On dirait le sûr



L’OTAN dure longtemps <img data-src=" />




Si la Cour valide malgré tout, son message serait aussi celui d’un blanc-seing délivré sur des opérations de surveillance potentiellement massives. Si elle remet en cause, les autorités de contrôle européennes seraient appelées à agir au plus vite afin de remuscler leur rôle face aux mastodontes américains. Ceux-ci pourraient être incités à gérer par contrat une partie des bugs dénoncés (les BCR, biding corporate rules). Les conséquences philosophiques et juridiques d’un tel scénario pourraient être aussi économiques , à savoir l’incitation forte des acteurs à relocaliser en Europe, des serveurs de traitement des données personnelles. Le dossier devrait nécessairement intéresser les services fiscaux, en quête de leviers pour reterritorialiser d’épais bénéfices.



Très bonne conclusion. Il y aura à dire dans les deux cas.



Personnellement, je préférerai le 2nd, mais si le 1er est retenu, on pourra en déduire beaucoup de choses sur l’orientation future du droit numérique dans l’UE….


Très bon article clair <img data-src=" />


Bizarrement, j’ai du mal à penser que l’option 2 puisse être retenue.

L’histoire récente de l’UE tend plutôt à montrer qu’elle se laisse dicter les termes par les USA.








ActionFighter a écrit :



L’OTAN dure longtemps <img data-src=" />



joli rebond



La relocalisation des données n’est pas nécessairement suffisante pour des entreprises soumises au droit américain et notamment patriot act

&nbsp;

http://bits.blogs.nytimes.com/2014/07/31/judge-rules-that-microsoft-must-turn-ov…

&nbsp;

&nbsp;Il faudra donc des structures juridiques sous droits européen, d’où les effets fiscaux








thorspark a écrit :



Bizarrement, j’ai du mal à penser que l’option 2 puisse être retenue.

L’histoire récente de l’UE tend plutôt à montrer qu’elle se laisse dicter les termes par les USA.





Pour le coup, je ne suis pas sûr.



Ce serait un bon moyen de rassurer ceux qui s’inquiètent, tout en montrant que le problèmes de données persos est reconnu, tout en mettant en place ou en ayant déjà au même moment des systèmes de renseignement potentiellement liberticides.



De plus, cela ne changera pas grand chose au fond. Même si les données persos sont stockées en UE, qui va aller vérifier qu’elles ne sont pas rapatriées vers les US ?



Hey, ça c’est de l’article de fond! J’ai eu du mal à venir à bout, j’ai finis en lisant en diagonale! Très bon résumé de la situation en tout cas :)

&nbsp;

&nbsp;Pour moi, la CJUE n’a qu’une seule vraie option si elle veut pas passer pour un mickey.








Baradhur a écrit :



Pour moi, la CJUE n’a qu’une seule vraie option si elle veut pas passer pour un mickey.





Elle ne passerait pour rien du tout même si elle ne suivait pas l’avis de l’avocat général, tout simplement parce que la majorité des gens s’en tapent, que l’affaire est relativement technique et que donc, de par les deux points précédents, la médiatisation de la chose serait proche du néant.



Ceci dit, lire les motivations d’un éventuel refus serait très très très instructif…



Avec tout l’historique et la connaissance sur le sujet de la part de Marc, ça mériterait que Marc s’attache à commencer un livre digne de ce nom sur le sujet <img data-src=" />


réfragable https://fr.wiktionary.org/wiki/Annexe:Prononciation/fran%C3%A7ais">\ʁe.fʁa.gabl̥

(Droit) Qui peut être réfuté par une preuve contraire, en parlant d’une présomption.



&nbsp;Déjà, j’ai appris quelque chose.

&nbsp;

Ensuite, si par miracle La disposition était contrée, je suis sur que notre ludion national (au nom de fromage) se ferait un plaisir de livrer aux Américains tous les fichiers qu’il pourrait trouver en proposant en plus les fiches d’identité de la crémière et de son voisinage…


On dit souvent que le génie c’est de répondre aux questions avant qu’elles ne se posent… S’il fait ce que tu décris, en avance de phase, et avec ce qui précède… <img data-src=" />


S’il fait ce que tu décris, en avance de phase, et avec ce qui précède…

&nbsp;… eh bien, on est mal, très mal barrés !


Voyons le côté positif, sachant cela, nous pourrons être enfin “pro-actif a posteriori” <img data-src=" />


Je veux pas être grossier, mais ta réflexion me fait penser à ce qu’on clamait dans les cours de récré:

&nbsp;

Si tu avances quand je recule….

&nbsp;

C’est un peu ça la commission européenne.


D’un autre côté, se mettre d’accord à 27 pour apporter une réponse/solution commune à un problème chacun voulant défendre ses intérêts on finit par quelque chose de faiblard et éloigné dans le temps <img data-src=" />


La grande faiblesse de l’Europe est statutaire: Tous les pays doivent se mettre d’accord pour avancer. C’est le meilleur moyen de tout bloquer et cette décision qui se voulait angélique à la base est devenue la mécanique la plus perverse de son fonctionnement.

&nbsp;

D’un autre côté, on se retrouve avec un méta pouvoir, alimenté par le secret, la commission européenne, qui passe son temps à se faire flatter par les lobbies, et qui court-circuite toutes les représentations populaires. Elle, elle n’a pas besoin d’unanimité pour avancer, il suffit que de gros pouvoirs de la politique et de l’argent viennent lui tripoter la croupe avec quelques billets

&nbsp;pour que leurs choix soient entérinés. Et nous, le peuple, on se retrouve grosjean.

&nbsp;Je ne serais pas comme toi, optimiste, pro-actif, car je n’ai aucune foi dans les décisions de ces sombres décideurs.


Pas sur que les US accepte cette décision étant donné que tout serveur appartement à une entreprise américaine étant à l’étrangé est considéré comme s’il était aux US… (Patriot Act il me semble)

Je les vois mal dire “ah mais non nous ne rapatrierons jamais les données sur le sol américains puisqu’elles y sont déjà…”

A partir de là l’UE peut faire ce qu’elle veut les US sont en avance sur le sujet et tout le monde à pris le plis.



La dentelle ça ne se repasse pas, ça se change !

mais ça coûte trop cher…


Bah pour le coup, envoyer les données aux US serait hors la loi (mais je vois mal comment on pourrait bloquer l’envoi). Il reste à ce que la punition soit suffisamment dissuasive.








Graphico a écrit :



notre ludion national (au nom de fromage)



Babybel?









thorspark a écrit :



Bah pour le coup, envoyer les données aux US serait hors la loi (mais je vois mal comment on pourrait bloquer l’envoi). Il reste à ce que la punition soit suffisamment dissuasive.





Même si c’est illégal, ce n’est pas ça qui va les gêner, comme tu le dis, l’envoi est indétectable.



Fermer