La justice européenne a invalidé mardi le cadre juridique couvrant le transfert de données personnelles de l’UE vers les Etats-Unis, dans un arrêt cinglant qui ouvre la voie au blocage du transfert des données de tous les abonnés européens de Facebook.
La Cour de justice de l’Union européenne (CJUE) a porté un coup fatal aux règles qui régissent depuis quinze ans ces transferts de données à des fins commerciales. Connues sous le nom de « Safe Harbour », elles concernent Facebook, mais aussi des milliers d’autres entreprises américaines.
« Cette décision est un coup majeur pour la surveillance de masse exercée par les États-Unis, qui repose lourdement sur des partenaires privés », s’est réjoui le juriste autrichien Max Schrems, à l’origine du recours en Irlande qui a conduit la justice européenne à se prononcer.
S’appuyant sur les révélations concernant les pratiques du renseignement américain, en particulier après l’affaire Snowden, M. Schrems s’était adressé aux autorités de contrôle en Irlande, d’où la filiale irlandaise de Facebook transfère les données personnelles de ses abonnés européens vers des serveurs situés aux Etats-Unis. Il revendiquait le droit de s’opposer au transfert de ses données, considérant que les Etats-Unis n’offraient pas de garanties suffisantes de respect de la vie privée. Mais sa requête avait été rejetée: les autorités irlandaises de contrôle avaient considéré que les Etats-Unis assuraient un niveau suffisant de protection aux données transférées.
Elles avaient invoqué le régime juridique dit de la « sphère de sécurité », plus connu sous le nom anglais de « Safe Harbour », mis en place par les autorités américaines pour leurs entreprises transférant des données depuis l’Europe. Dans une décision datant de 2000, la Commission européenne avait considéré que ce cadre protégeait suffisamment les citoyens de l’UE.
Max Schrems avait alors lancé un nouveau recours, devant la justice irlandaise, qui avait décidé de saisir la CJUE, basée à Luxembourg. « L’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle », a jugé mardi la Cour.
La Commission « n’avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle », a-t-elle jugé, déclarant donc « invalide » la décision de l’éxécutif européen. « Cet arrêt a pour conséquence que l’autorité irlandaise de contrôle est tenue d’examiner la plainte de M. Schrems avec toute la diligence requise », a précisé la Cour. « Il lui appartient, au terme de son enquête, de décider s’il convient (…) de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis », a-t-elle ajouté.
« Ce jugement montre clairement que les entreprises américaines ne peuvent pas simplement s’allier aux efforts de l’espionnage américain en violant les droits fondamentaux européens », a estimé M. Schrems, qui avait fait le déplacement au Luxembourg pour assister au prononcé de l’arrêt.
La députée européenne libérale ALDE Sophie In’t Veld, membre de la Commission des libertés civiles au Parlement européen, s’est félicitée de son côté de ce « clou dans le cercueil de Safe Harbour ».
« C’est un victoire à 100% pour Schrems, c’est rare mais ça arrive », a commenté un expert européen. « La commission n’a plus son mot à dire car son analyse est caduque », a-t-il ajouté, estimant que « les abonnés Facebook sont maintenant suspendus à la décision de l’autorité de contrôle irlandaise ».
L’arrêt de la CJUE intervient alors que la Commission européenne est engagée dans une négociation compliquée avec les Etats-Unis. Depuis les révélations des programmes de collecte de renseignement à grande échelle aux Etats-Unis, l’exécutif européen demande aux Etats-Unis d’améliorer les garanties apportées par « Safe Harbour »,sans succès jusqu’ici.
AFP / S.A.