Paris, le 24 septembre 2015 — L'avocat général de la Cour de Justice de l'Union européenne (CJUE) a rendu le 23 septembre ses conclusions sur l'affaire « Maximilian Schrems contre Data Protection Commissionner ». L'avocat général, Yves Bot, préconise une invalidation de l'accord Safe Harbor qui régit le transfert par les services en ligne comme Facebook des données personnelles de citoyens européens vers les États-Unis. L'avocat général considère en effet que la surveillance exercée par les services de renseignement américains viole les droits fondamentaux des européens. La Quadrature du Net salue ces conclusions claires et protectrices, et espère que la CJUE aura le courage de suivre l'avocat général dans cette remise en cause frontale du Safe Habor, exigée par la société civile depuis le début des révélations d'Edward Snowden. Au delà du Safe Harbor, son analyse des activités de la NSA vaut tout aussi bien pour les pratiques de surveillance de masse conduites en Europe, et en notamment en France.

L'affaire « Maximilian Schrems contre Data Protection Commissionner » traite de la question du transfert des données personnelles de citoyens européens aux États-Unis dans le cadre de l'utilisation de services tels que Facebook, données ensuite mises à la disposition des services de renseignement américains par le biais du programme PRISM, comme l'ont démontré les révélations d'Edward Snowden. La question porte sur les compétences des autorités nationales de protection des données et sur le rôle du Safe Harbor, qui encadre depuis 2000 le transfert des données personnelles des ressortissants de l'Union européenne lorsqu'ils utilisent des services hébergés aux États-Unis. Le Safe Harbor est censé garantir un niveau de protection des données aux États-Unis équivalent et adéquat pour les citoyens européens, similaire à celui qui prévaut en Europe. On parle ainsi d'une « sphère de sécurité » entre l'Europe et les États-Unis permettant une circulation très large des données à caractère personnel. Le Safe Harbor régit notamment des entreprises telles que Google, Facebook, Amazon, Twitter, Apple (toutes les entreprises qui sont au cœur du programme PRISM de la NSA en font partie).

Yves Bot, avocat général de la CJUE, étudie dans ses conclusions plusieurs questions fondamentales :

• quel est le rôle et quelles sont les capacités d'une autorité de régulation nationale face aux accords européens comme le Safe Harbor ? Peut-elle enquêter et agir contre des entreprises couvertes par ce type d'accord ?
• que se passe-t-il lorsqu'un accord passé il y a 15 ans (le Safe Harbor est en vigueur depuis 2000) n'est pas révisé alors qu'il a été porté à la connaissance du public que des traitements de données personnelles ont été effectués en dehors des finalités prévues par cet accord ?
• peut-on considérer que l'accès aux données des européens par les services de renseignement américains respecte les principes de proportionnalité et de finalités explicites qui sont jugés nécessaires au respect des droits fondamentaux en Europe, y compris lorsque sont invoqués les motifs de sécurité nationale ?
• comment faire respecter les droits des citoyens européens lorsqu'il n'existe pas de possibilité de recours juridictionnel respectant les standards européens dans le pays qui reçoivent leurs données personnelles ?
• la Commission européenne aurait-elle dû d'elle-même suspendre le transfert des données personnelles ou au moins réviser périodiquement le Safe Harbor afin de vérifier que les critères de conformité prévus à l'origine continuaient d'être respectés ?

À toutes ces questions, l'avocat général répond que :

• une autorité nationale de protection des données a le droit et le devoir de défendre les citoyens même en présence d'un accord européen ;
• la Commission européenne devait vérifier périodiquement la conformité du Safe Harbor aux standards de protection des données européens ;
• les conditions de respect des principes de proportionnalité et de finalités explicites ne sont pas respectés par les services de renseignement américains ;
• les citoyens européens ne disposent pas des garanties nécessaires à l'exercice de leurs droits contre le traitement de leurs données par les services de renseignement ;
• par conséquent, le Safe Harbor doit être invalidé et suspendu.

Ces conclusions sont très importantes car elles justifient les inquiétudes portées par de nombreux citoyens et organisations à propos du Safe Harbor, qui depuis des années facilite l'accès aux données personnelles des citoyens européens par les services de renseignement américains. Les parlementaires européens, au printemps 2014, avaient demandé sa suspension. La Commission européenne a préféré proposer une révision, sur laquelle elle travaille encore. En attendant, les données personnelles des citoyens européens continuent d'alimenter les programmes de surveillance américains.

Ces conclusions, qui font suite à un recours porté en juin 2013 par l'activiste autrichien Max Schrems donnent une opportunité unique de redéfinir le cadre général du transfert des données personnelles à la lumière des révélations Snowden, c'est-à-dire en prenant en compte l'existence de programmes de surveillance et de collecte de masse des données personnelles par l'intermédiaire des opérateurs et services Internet, aussi bien aux États-Unis qu'en Europe. L'avocat général dénonce dans ses conclusions l'argument de la sécurité nationale en tant que raison ultime de passer outre les droits fondamentaux des citoyens, et en se référant notamment à l'arrêt Digital Rights de 2014 sur la conservation des données qui fixe des principes très clairs et protecteurs pour les citoyens.

Ces conclusions sont donc dans la droite ligne de ce que demandent les associations de défense des droits des citoyens, et La Quadrature du Net salue le travail et le raisonnement exposés dans les conclusions de l'avocat général.

« La Cour de Justice de l'Union européenne va devoir rendre sa décision dans cette affaire d'ici quelques semaines. Il lui faut absolument suivre les recommandations de l'avocat général, quand bien même cela imposera de redéfinir très largement le cadre des transferts de données entre l'Europe et les États-Unis. Mais pour qu'une telle décision ne conduise pas à un jeu de dupes, à travers une simple relocalisation des données qui faciliterait leur surveillance par les services de renseignement européens, il faut aussi s'assurer que les lois applicables en la matière de ce côté-ci de l'Atlantique soient pleinement respectueuses de la vie privée. À l'heure où des pays comme la France, le Royaume-Uni ou les Pays-Bas légalisent les pratiques de surveillance à grande échelle déployées ces dernières années par leurs agences de renseignement, les juridictions comme la CJUE doivent se montrer tout aussi fermes à leur égard. Les conclusions de Yves Bot donnent d'ailleurs des pistes pour adapter la jurisprudence et barrer les routes aux lois inadmissibles qui, à l'image de la proposition de loi sur la surveillance internationale examinée en ce moment même par le Parlement français, prennent modèle sur la NSA. Beaucoup de chemin reste à faire, mais ces conclusions sont véritablement un pas dans la bonne direction » déclare Félix Tréguer, co-fondateur de La Quadrature du Net.