Safe Harbor : collecte abusive de données et surveillance de masse invalidées par la Cour européenne !

Posted on


Paris, le 6 octobre 2015 — Par une décision rendue publique ce matin, la Cour de justice de l’Union européenne (CJUE), plus haute juridiction de l’Union, a invalidé le Safe Harbor. Cet accord, permettant le transfert de données personnelles entre l’Europe et les États-Unis, en application depuis 2000 dans différentes versions, autorisait le traitement par les entreprises américaines des données des citoyens européens, avec des garanties encore plus faibles que celles existantes en Europe. L’autrichien Max Schrems a attaqué Facebook en estimant que la surveillance exercée par la NSA sur les données hébergées par Facebook affectait ses libertés et sa vie privée. La CJUE lui a aujourd’hui donné raison, en invalidant le Safe Harbor et en jugeant que la Commission avait abusé de son pouvoir en l’approuvant. Elle a aussi affirmé qu’une autorité locale de protection des données avait capacité à contester un accord européen si les garanties offertes aux citoyens avaient été modifiées.

emblême CJUE

C’est un jugement historique ! En reconnaissant que la surveillance exercée par la NSA sur les données personnelles hébergées aux États-Unis portait préjudice aux citoyens européens, la CJUE met en application ce que les organisations de défense des droits et les parlementaires européens appelaient de leurs vœux : les conditions de transfert de données personnelles doivent être revues, à la lumière des législations sur la surveillance et des pratiques qui ont été mises au jour par Edward Snowden. En invalidant le Safe Harbor et en mettant les autorités de régulation en capacité d’examiner des demandes individuelles contre le transfert de données, c’est un signal fort envoyé à la Commission européenne qui renégocie en ce moment cet accord du Safe Harbor, mais également aux gouvernements qui mettent en place des mesures de surveillance. Ces mesures sont bien reconnues comme portant atteinte aux libertés fondamentales, et ce dès qu’il y a potentialité de collecte et de conservation1Voir les considérants du jugement :

  • 33. L’accès massif et indifférencié à des données à caractère personnel serait évidemment contraire au principe de proportionnalité et aux valeurs fondamentales protégées par la Constitution irlandaise. Pour que des interceptions de communications électroniques puissent être considérées comme conformes à cette Constitution, la preuve devrait être rapportée que ces interceptions présentent un caractère ciblé, que la surveillance de certaines personnes ou de certains groupes de personnes soit objectivement justifiée dans l’intérêt de la sécurité nationale ou de la répression de la criminalité et qu’il existe des garanties adéquates et vérifiables.
  • 92. En outre et surtout, la protection du droit fondamental au respect de la vie privée au niveau de l’Union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire (arrêt Digital Rights Ireland e.a., C-293/12 et C-594/12, EU:C:2014:238, point 52 et jurisprudence citée).
  • 93. Ainsi, n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données [voir en ce sens, en ce qui concerne la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54), arrêt Digital Rights Ireland e.a., C-293/12 et C-594/12, EU:C:2014:238, points 57 à 61].

des données (sans qu’il soit indispensable de prouver qu’on a effectivement fait l’objet d’une surveillance).

La Quadrature du Net salue ce jugement courageux de la CJUE, et appelle à en appliquer les principes aux différents dossiers législatifs en cours concernant les données personnelles et la surveillance :

  • la récente loi sur le renseignement et la loi sur la surveillance internationale qui sera votée fin octobre au Sénat : que va-t-il advenir des entreprises françaises hébergeant des données personnelles de citoyens du monde entier, à partir du moment où la surveillance exercée par les services de renseignement sur les données de connexion et les données personnelles a été reconnue comme une atteinte aux droits fondamentaux ? Que va-t-il advenir des lois sur le renseignement et sur la surveillance internationale dont les dispositions sont gravement attentatoires aux droits et libertés ?
  • le règlement européen sur les données personnelles, actuellement en phase de trilogue au niveau européen : les parties prenantes (Parlement européen, Commission européenne et Conseil de l’Union européenne) devront prendre en compte cette question et améliorer le niveau de protection des données personnelles des citoyens européens. Cela devra passer par une interdiction des traitements de données pouvant donner lieu à une surveillance massive, et par le contrôle du pouvoir trop grand donné aux entreprises en matière de traitement des données avec la notion d’« intérêt légitime ».
  • la renégociation du Safe Harbor, entamée après la résolution du Parlement européen demandant sa suspension en avril 2014 : le problème de la surveillance exercée par les autorités américaines avec la collaboration des grandes sociétés ne pourra plus être ignoré et les droits des citoyens européens devront être protégés.

« C’est un message clair qui est ici envoyé par la CJUE, après son jugement de 2014 sur la rétention des données : par deux fois en 18 mois, la CJUE estime que la collecte et la conservation des données à des fins de surveillance est contraire aux droits fondamentaux. Nous appelons les législateurs français et européens à en tirer les conclusions nécessaires, à travailler à la protection des citoyens à l’intérieur de l’Union et à revenir sur les législations de surveillance actuellement votées dans différents pays européens, notamment en France » déclare Adrienne Charmet, coordinatrice des campagnes de La Quadrature du Net.

References

References
1 Voir les considérants du jugement :

  • 33. L’accès massif et indifférencié à des données à caractère personnel serait évidemment contraire au principe de proportionnalité et aux valeurs fondamentales protégées par la Constitution irlandaise. Pour que des interceptions de communications électroniques puissent être considérées comme conformes à cette Constitution, la preuve devrait être rapportée que ces interceptions présentent un caractère ciblé, que la surveillance de certaines personnes ou de certains groupes de personnes soit objectivement justifiée dans l’intérêt de la sécurité nationale ou de la répression de la criminalité et qu’il existe des garanties adéquates et vérifiables.
  • 92. En outre et surtout, la protection du droit fondamental au respect de la vie privée au niveau de l’Union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire (arrêt Digital Rights Ireland e.a., C-293/12 et C-594/12, EU:C:2014:238, point 52 et jurisprudence citée).
  • 93. Ainsi, n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données [voir en ce sens, en ce qui concerne la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54), arrêt Digital Rights Ireland e.a., C-293/12 et C-594/12, EU:C:2014:238, points 57 à 61].