Données personnelles : la justice européenne invalide l’accord qui permet leur transfert vers les Etats-Unis
C’est une décision qui en a surpris plus d’un. Aujourd’hui, la cour de justice de l’Union européenne a invalidé l’accord appelé “Privacy Shield”, passé en juillet 2016, entre l’Union européenne et les Etats-Unis.
Celui-ci était alors présenté comme un véritable bouclier de sécurité, composé de nombreuses règles qui permettaient de protéger le transfert des données personnelles des européens vers les serveurs des 5300 entreprises américaines qui les utilisaient. Cette décision de justice vient clore un feuilleton long de sept ans qui opposait Max Schrems, jeune avocat autrichien, à la plateforme Facebook.
En 2016, quand le “Privacy Shield” a été signé entre les deux partenaires, Vera Jourova, Commissaire européenne chargée de la Justice et vice-président de la Commission Européenne, assurait que ce bouclier “offrirait un niveau de protection élevé aux citoyens et procurerait une sécurité juridique aux entreprises”. Avant d’ajouter que cet accord permettrait “des obligations plus strictes aux entreprises qui traitent des données, fait en sorte que ces règles soient appliquées et que leur respect soit assuré dans la pratique. (…) les États-Unis ont donné par écrit à l’UE l’assurance que l’accès des pouvoirs publics aux données à des fins répressives et de sécurité nationale serait subordonné à des limitations, des conditions et des mécanismes de surveillance bien définis et ont exclu toute surveillance de masse non ciblée des données des citoyens européens.”
David contre Goliath
Malgré les assurances de la Commissaire européenne, l’accord passé laissait sceptique les observateurs et les associations de défense des droits et des libertés des citoyens, comme La Quadrature du Net qui dénonçait à l’époque “un bouclier troué à refuser”. Une opinion sans doute partagée par Max Schrems, jeune avocat autrichien et militant en faveur de la protection des données privées, qui avait déjà fait annuler fin 2015 le précédent accord, appelé “Safe Harbor”, censé encadrer le transfert des données des internautes européens vers les États-Unis. Pour celui qui a de nouveau porté l’affaire devant la cour de justice européenne, le risque principal était de voir les services de renseignement américains, comme la NSA, accéder sans mal à nos données en invoquant par exemple l’impératif de sécurité intérieure.
Les Etats-Unis se sont dits “profondément déçus” par la décision de la cour de justice de l’Union européenne. De son côté, Max Schrems a fait part de sa satisfaction sur Twitter : “Après une première lecture du jugement sur le ‘Privacy Shield’, il semble que nous ayons gagné à 100% — pour notre vie privée. Il est clair que les Etats-Unis vont devoir changer sérieusement leurs lois sur la surveillance, si les entreprises américaines veulent continuer à jouer un rôle sur le marché européen”. A l’antenne d’Europe 1, un représentant de la Quadrature du Net a souligné que “cette décision est un appel politique de l’Union européenne aux États-Unis pour qu’ils revoient et qu’ils renforcent leur protection des données personnelles.” De son côté, le réseau social Facebook a souligné dans un communiqué son intention de faire “en sorte que ses annonceurs, clients et partenaires puissent continuer à profiter de ses services tout en préservant la sécurité de leurs données”.
Et demain ?
L’avenir est donc plus qu’incertain pour les 5300 entreprises américaines qui utilisaient les données personnelles des citoyens européens — envoyées sur le sol américain — et qui respectaient le “Privacy Shield”. Plusieurs possibilités s’offriront à elles désormais, tout comme à l’administration Trump, en cas de nouvel échec des négociations. La première : rapatrier dans chaque pays de l’Union européenne les données récoltées. Une solution techniquement possible mais très coûteuse. La seconde, sans doute la moins réaliste : utiliser nos données privées au risque de se voir infliger des amendes records depuis l’instauration en Europe du Règlement général sur la protection des données (RGPD). Grâce à lui, chaque infraction est désormais puni d’une amende qui peut aller jusqu’à 20 millions d’euros. Dans le cas d’une entreprise, elle peut atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial. Dans les deux cas, il leur faudrait débourser des sommes colossales en attendant qu’une nouvelle solution soit trouvée.
Celle-ci pourrait consister en une augmentation sensible de la part de l’administration du niveau de protection des données personnelles, à la manière du RGPD européen, ce qui empêcherait certaines agences comme le FBI ou la NSA de pouvoir invoquer l’impératif de sécurité intérieure pour les récupérer. Mais cette solution a été écartée — pour l’instant — par les autorités fédérales, surtout que les élections présidentielles se profilent. Donald Trump ne pouvant pas laisser penser qu’augmenter la protection de la vie privée des ressortissants étrangers se fait au détriment de la sécurité des citoyens américains. Hier, lors d’une interview, un responsable américain a déclaré aux journalistes que des modifications du régime de surveillance américain ne sont ni “recommandables, ni possibles” à ce stade. Pourtant, un véritable mouvement en faveur du respect des données privées s’est constitué aux USA. Ainsi, la Californie s’est dotée de son propre RGPD. Il est entré en vigueur le 1er janvier dernier.
Le “California Consumer Privacy Act” — c’est son nom — a toutefois une portée plus restreinte que le notre. Il ne s’applique pas aux traitements de données liés aux activités commerciales réalisées hors de la Californie, et il ne s’applique qu’aux entités répondant à au moins un des trois critères suivants : un chiffre d’affaires brut annuel supérieur à 25 millions de dollars ; des revenus issus au moins à 50 % de la vente de données personnelles ; l’achat, la vente, la réception ou le partage des données d’au moins 50 000 citoyens, ménages ou appareils par an à des fins commercials.
Pour de nombreux observateurs, ce problème du transfert et de l’utilisation des données d’un continent à l’autre est un casse-tête insoluble puisque les Etats sont incapables de protéger les droits de leurs citoyens. Pour preuve, ils mettent en avant la durée de l’action de Max Schrems (7 ans) et ses deux victoires en justice. La solution pourrait consister en une relocalisation des solutions et en l’invention de nouveaux modèles. Afin de préserver sa souveraineté numérique, l’Union européenne pourrait, pour commencer, mettre à la disposition des consommateurs européens des systèmes ou des offres de services similaires à ceux proposés par les GAFAM. Cela aurait le mérite de booster l’innovation technologique au sein de l’Union européenne et de permettre de rattraper son retard par rapport aux USA et la Chine. C’est d’ailleurs le modèle que cette dernière à mis en place — avec succès — ces 10 dernières années pour concurrencer les américains. Les BATX (Baidu, Alibaba, Tencent et Xiaomi) en sont la preuve flagrante. En Chine aussi, Apple a été obligé de se soumettre à la dernière loi en vigueur sur la cybersécurité en transférant toutes les données des utilisateurs de son cloud chinois à un partenaire local. Le géant technologique américain stocke désormais dans ces datas centers les photos, les documents et les messages des utilisateurs chinois. Il a également promis d’avoir “de bonnes protections pour garantir la sécurité et la confidentialité des données en place (…) aucune porte dérobée ne sera créée dans nos systèmes”.
Empêcher les GAFAM d’utiliser les données personnelles posent au fond la question de notre modèle économique. Le capitalisme de plateforme — celui qui se développe le plus rapidement depuis le début des années 2000 en Europe, aux USA mais aussi en Asie — a besoin de ces données pour grandir et faire des profits. Sans elles, il s’effondrera, ce que les pouvoirs publics ne peuvent pas accepter. Les sociétés numériques représentent des millions d’emplois et la capitalisation boursière des GAFAM a dépassé récemment les 5000 milliards de dollars. A elle seule, la société Microsoft représente en bourse l’équivalent de tout le CAC 40 français !
En juin dernier, Google a surpris tous les observateurs en présentant de nouvelles mesures pour protéger les données de ses utilisateurs et assurer leur confidentialité et leur sécurité sur Internet. Ainsi, toutes les données de navigation et de localisation seront supprimées par défaut — et donc automatiquement — au bout de 18 mois. Jusqu’à présent, les internautes devaient faire le choix de supprimer ou non leur historique après 3 ou 18 mois. Cette suppression se fera désormais par défaut.
Et si la solution tant recherchée venait des GAFAM eux-mêmes ?
