Bruxelles, 06/10/2015 (Agence Europe) - La Cour de justice de l'Union européenne a lancé, mardi 6 octobre, une véritable bombe dans les relations transatlantiques en confirmant dans un arrêt les conclusions générales qu'avait rendues l'Avocat général Yves Bot le 23 septembre au sujet du dispositif Safe Harbour (EUROPE 11395) qui encadre depuis 2000 le flux de données privées des Européens vers les géants du Net américains.
La Cour a déclaré précisément « invalide la décision (d'adéquation NdlR) de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées ». Et alors que la Cour est « seule compétente pour déclarer l'invalidité d'un acte de l'Union, les autorités nationales de contrôle, saisies d'une demande, peuvent, même en présence d'une décision de la Commission constatant qu'un pays tiers offre un niveau de protection adéquat des données personnelles, examiner si le transfert des données d'une personne vers ce pays respecte les exigences de la législation de l'Union relative à la protection de ces données », a ajouté la Cour, ces autorités nationales étant aussi habilitées «à saisir les juridictions nationales, au même titre que la personne concernée, afin qu'elles procèdent à un renvoi préjudiciel aux fins de l'examen de la validité de cette décision ». Concrètement, il reviendra désormais à la High Court irlandaise de dire si elle suspend ou non la décision Safe Harbour pour le cas concernant Facebook que lui avait soumis l'étudiant autrichien Max Schrems.
Celui-ci avait porté plainte devant la High Court de la République d'Irlande - pays où Facebook a son siège social - après la révélation en juin 2013 par Edward Snowden des programmes de surveillance de masse des services de renseignement américains et du possible accès de ces derniers aux données ayant transité dans le cadre a priori strictement commercial de Safe Harbour. Mardi matin, Edward Snowden a lui-même, depuis son compte Twitter, félicité l'étudiant autrichien pour avoir permis cet arrêt de la Cour qui renforce la sécurité de tous, a réagi l'ancien agent de la NSA. Max Schrems a, lui, salué un jugement qui, espère-t-il, constituera un précédent en matière de vie privée numérique. « Ce jugement établit une ligne claire. Il clarifie le fait que la surveillance de masse viole nos droits fondamentaux », a-t-il réagi dans un communiqué. Des
« Recours raisonnables doivent être possibles ». L'arrêt établit aussi clairement que les gouvernements et les entreprises ne peuvent ignorer « notre droit fondamental à la vie privée », a encore jugé Max Schrems.
La Commission européenne a, elle, estimé que cette décision renforçait sa position, l'exécutif ayant lancé en 2013 une révision de la décision Safe Harbour qui aurait dû, en principe, aboutir à l'été 2014. Lors d'une conférence de presse, les commissaires Frans Timmermans et Vera Jourova ont affirmé que cette étape était « importante dans la protection des droits fondamentaux dans l'UE » et que la Commission allait continuer à chercher le meilleur équilibre possible entre respect de la vie privée et prise en compte des intérêts des entreprises, dont celles européennes, dans la perspective du nouveau Safe Harbour. Moins officiellement, la Commission a été prise quelque peu de court, a commenté une source mardi matin, l'institution ayant été surprise de la rapidité du calendrier - l'arrêt a été rendu moins de deux semaines après les conclusions générales - et n'ayant pas réellement pu préparer sa réponse.
Mardi après-midi, Vera Jourova, en charge de la Justice et des Consommateurs, a toutefois expliqué que Safe Harbour invalidé, les transferts de données personnelles vers les États-Unis pouvaient se poursuivre sur la base d'autres instruments. Il existe ainsi d'autres systèmes de transfert, par exemple, des « clauses contractuelles type » ou les « règles internes d'entreprise » (dans le cas de transfert de données entre filiales). La directive européenne de 1995 sur la protection des données personnelles, en cours de révision, prévoit aussi qu'un transfert vers un pays tiers peut être autorisé dans plusieurs cas, comme pour assurer la bonne exécution du contrat commercial (dans le cas d'une réservation d'hôtel par exemple, où les coordonnées du client sont nécessaires) ou lorsque intervient le consentement explicite de l'internaute à ce que ses données soient transférées. Ou encore pour assurer le respect d'objectifs d'intérêt public (la lutte contre la fraude, les cartels…) ou bien pour assurer les intérêts vitaux d'une personne dont les données médicales devraient, par exemple, être transférées d'urgence vers les États-Unis en cas de menace spécifique à sa santé.
Les deux commissaires ont, en tout cas, indiqué qu'ils allaient préparer des lignes directrices sur cet arrêt à destination des autorités nationales de protection des données pour en expliquer la portée et que le groupe article 29, qui les réunit au niveau européen, allait lui aussi se saisir des enjeux de la décision. La Commission européenne, a dit Mme Jourova, met aussi tout en oeuvre pour épauler les entreprises qui « recherchent des réponses car elles doivent transférer des données », ces entreprises (4 400 entreprises américaines sont concernées par Safe Harbour mais aussi leurs partenaires européennes) se retrouvant en quelque sorte à présent devant un vrai vide juridique. La commissaire a rappelé son souhait que les négociations lancées en 2013 sur le nouveau Safe Harbour puissent être finalisées « dès que possible ». Cela aurait dû être le cas avant l'été 2015, mais les Américains semblent traîner sur la recommandation 13 qui porte sur la formulation des exceptions pour les autorités de surveillance et la façon dont elles peuvent déroger au cadre pour des raisons de sécurité nationale, dérogation que l'UE souhaite strictement nécessaire et proportionnée.
En attendant, les réactions ont été extrêmement nombreuses, mardi, à la fois soulagées et déçues. L'association DigitalEurope s'est dite déçue par cet arrêt, car l'invalidation immédiate de Safe Harbour va créer des « dommages à l'économie des données européennes et impactera négativement les consommateurs, employés et employeurs », a-t-elle réagi. DigitalEurope exhorte les deux parties à finaliser au plus vite le nouveau cadre Safe Harbour.
Le président de la commission des libertés civiles du PE, Claude Moraes, qui avait demandé l'année dernière la suspension de Safe Harbour, a, lui, été déçu par les réactions initiales de la Commission et demande à cette dernière de faire toute la clarté sur les implications juridiques de cet arrêt. La réaction de la Commission est « décevante et manque de mise à jour concrète sur ce qu'elle compte faire pour remplacer le cadre Safe Harbour », a réagi le Britannique. Enfin, pour Facebook, il est impératif que l'UE et le gouvernement américain fassent en sorte de « fournir des méthodes fiables pour assurer le transfert légal de données », a réagi l'entreprise auprès de l'AFP. (Solenn Paulic)