La décision CJUE « SAFE HARBOR » : un acte européen de souveraineté numérique
Témoignant d’un regain de souveraineté quasi inattendu, la Cour de Justice de l’Union Européenne, dans sa décision C-362/14 du 6 octobre 2015, a rendu un arrêt infligeant un camouflet aux autorités de contrôle des données américaines.
En l’espèce, un internaute autrichien, du fait des révélations « d’espionnage numérique » dans la foulée du scandale Snowden, s’inquiétait que ses données personnelles recueillies depuis son compte Facebook, puissent être scrutées par la NSA ou le FBI, en vertu des lois américaines de lutte contre le terrorisme.
Or, il s’avère que si Facebook a son siège européen en Irlande, les données sont exportées, conservées et traitées depuis les data centers basés aux Etats-Unis. Dès lors, elles se trouvent placées sous le contrôle des autorités américaines (et soumises aux activités de renseignement de l’Oncle Sam), pays tiers à l’Union Européenne (UE).
Ayant introduit un recours devant les juridictions irlandaises (non sans voir tout d’abord essuyé un rejet de sa requête par l’Autorité de protection de la vie privée – équivalent de la CNIL), la High court de l’Eire (Haute Cour de justice), saisissait la CJUE d’une question préjudicielle (procès suspendu dans l’attente de l’interprétation de la règle par les instances suprêmes).
Se livrant à l’analyse des normes en vigueur s’agissant de la protection des données personnelles, la CJUE devait trancher en regard de la Directive 95/46 aux termes de laquelle, sous l’article 28 notamment, il est énoncé que chaque pays membre de l’UE doit instituer une autorité de protection des données personnelles, que des voies de recours doivent être ouvertes aux citoyens concernant l’usage et l’exploitation de leurs données,. De même, il est prévu des modalités garantissant le niveau de sécurité des données personnelles des citoyens de l’UE.
Enfin, dès lors que les données du compte Facebook étaient centralisées sur le territoire américain, la CJUE se devait d’examiner la décision américaine 200/520 du 21 juillet 2000 (dite « SAFE HARBOUR ») au vu des dispositions de la Directive 95/46 et de s’assurer qu’elle offrait les garanties nécessaires relatives au respect des règles de protection de la vie privée compatibles avec les normes européennes.
Or, aux termes de l’arrêt du 6 octobre 2015, la CJUE a estimé que les Etats-Unis n’offraient précisément pas de garanties suffisantes quant à la sécurité des données à caractère personnel des citoyens de l’UE. Par conséquent, le « SAFE HARBOUR » se voit être déclaré inopérant en regard des règles de confidentialité européennes.
Comme conséquence de cette décision souveraine, le G29 a été saisi afin de remédier à cette insuffisance de protection avant fin janvier 2016.
Signalons en outre que le projet de loi sur le numérique (article 22) renforce la protection du secret des correspondances, ce qui n’est sans doute pas vain quand tous les opérateurs (Google, Microsoft, Yahoo, …) se trouvent tous êtres américains.