Accueil
Politique
Droit

La fin du Safe Harbor et la refonte de la politique de données des entreprises européennes ?

Cédric Mialaret
Droit

Schrems contre Facebook

Une décision de justice dans le procès qui oppose l’étudiant de droit autrichien Maximilian Schrems à la Commission de la protection des données de l’Irlande pourrait avoir des répercussions pour toutes les entreprises européennes qui hébergent des données aux États-Unis.

Schrems s’était ému du traitement et du stockage de ses données personnelles par Facebook, et sa filiale européenne basée à Dublin.

Après les révélations du dénonciateur Edward Snowden sur la surveillance de masse par la NSA, il avait fait appel au financement participatif pour attaquer la Commission de la protection des données de l’Irlande, l’accusant de ne pas le protéger de la surveillance sans discrimination, et affirmant que les entreprises à l’intérieur de l’Union Européenne ne devraient pas avoir le droit de transférer les données personnelles aux États-Unis en s’abritant sous l’accord du « Safe Harbor« , ou « sphère de sécurité« , dont il demande l’annulation.

Les principes de la sphère de sécurité sont censés assurer aux données des citoyens européens hébergées à l’étranger une protection au moins aussi forte que ne le prévoient les lois européennes. Dans les faits c’est l’inverse qui se produit, l’accord sert de justification à l’abdication par les entreprises de leurs responsabilités.

 

Les conclusions d’Yves Bot, avocat général de la Curia

Yves Bot, l’avocat général de la Cour de justice de l’Union Européenne (Curia) vient de publier ses conclusions sur ce dossier, numéro C‑362/14. Si ces dernières n’ont pas force de loi, elles sont généralement entérinées par la Cour. Les décisions de la Cour ont force de loi, et doivent être appliquées dans tous les pays de l’Union Européenne.

Pour Bot, tout pays de l’UE estimant que le transfert des données à l’étranger affaiblit la protection des données de ses citoyens, a le pouvoir de suspendre ces transferts, quelle que soit la position de la Commission européenne. Or il opine que :

 » L’accès dont disposent les services de renseignement américains aux données transférées est donc également constitutif d’une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti par l’article 8 de la Charte, puisqu’un tel accès constitue un traitement de ces données. »

La Commission européenne affirme que l’accord du Safe Harbor suffit à assurer la protection des données des citoyens européens. Ce que Bot récuse, puisque la sphère de sécurité n’empêche nullement les États-Unis de collecter, avec le système PRISM de la NSA, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées dans le cadre du régime de la sphère de sécurité, sans que ces derniers bénéficient d’une protection juridictionnelle effective.

Cette conclusion est en accord avec celle du Parlement européen, qui avait déjà demandé la suspension de l’accord de la sphère de sécurité depuis un an et demi, une demande toujours ignorée par la Commission européenne.

Si les conclusions étaient entérinées par la Curia, elles forceraient toutes les entreprises européennes transférant des données aux États-Unis de revoir leurs contrats, et signifierait probablement la fin du Safe Harbor.