L'avocat général à la Cour de Justice de l'Union Européenne (CJUE) Yves Bot a préconisé mercredi d'annuler la décision de la Commission européenne adoptée en 2000 qui autorise le transfert de données personnelles de citoyens européens vers les Etats-Unis. Il estime que les conditions ne sont plus réunies pour que l'exécutif européen continue d'accorder aux USA le régime dit du "Safe Harbor", qui présume un "niveau de protection adéquat" des données personnelles des Européens lorsqu'elles sont transférées vers les Etats-Unis.
Le magistrat français était appelé à exprimer l'intérêt général dans l'affaire Maximilian Schrems, qui oppose un activiste autrichien à la CNIL irlandaise. Schrems demande que le commissaire irlandais à la protection de données interdise à Facebook de rapatrier outre-Atlantique les données collectées sur le vieux continent, en raison de l'étendue des programmes de surveillance de la NSA et de son accès aux serveurs d'entreprises privées, révélé par Edward Snowden.
Dans cette affaire, l'autorité administrative demande à la CJUE si elle peut prendre une telle décision alors que la Commission européenne a accordé un "Safe Harbor" aux USA dans une décision du 26 juillet 2000. En vertu de cet accord, les entreprises américaines qui s'engagent à respecter un certain nombre de principes prévus par le Safe Harbor sont réputées offrir un niveau de protection suffisant, ce qui désarme les autorités de protection des données comme la CNIL qui se sentent liées par cet engagement.
LA COMMISSION AURAIT DU SUSPENDRE LE SAFE HARBOR
Mais pour l'avocat général de la CJUE, à qui la Commission avait conseillé de quitter Facebook pour protéger sa vie privée, le Safe Harbor ne vaut rien dans les circonstances post-Snowden, parce qu'il n'offre pas "suffisamment de garanties". "Le droit et la pratique des Etats-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l'Union qui sont transférées, sans que ces derniers bénéficient d'une protection juridictionnelle effective", résume le communiqué de la Cour.
Pour Yves Bot, "l'accès dont disposent les services de renseignement américains aux données transférées est constitutif d'une ingérence dans le droit au respect de la vie privée", sans recours possible pour les personnes concernées, victimes d'une "surveillance massive et non ciblée".
Aussi, pour l'avocat général, la Commission aurait dû suspendre l'application du Safe Harbor, sans attendre la conclusion de sa renégociation en cours.
Par ailleurs pour répondre à la question de l'autorité irlandaise, Yves Bot estime que les CNIL européennes ne doivent pas se sentir juridiquement liées par la décision de la Commission, sauf à abandonner leur indépendance statutaire. Dès lors qu'un doute est soulevé par une plainte sur la légitimité du Safe Harbor accordé par Bruxelles, il appartient aux autorités de protection des données d'en vérifier le bien-fondé et de s'interposer, le cas échéant, à un transfert de données qui ne présente pas de garanties suffisantes.
L'avis de l'avocat général de la CJUE ne s'impose pas à la Cour, qui devra prendre sa propre décision dans les mois à venir. Mais il est très souvent suivi par les juges.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
