En tant qu'avocat spécialiste des données personnelles, quelle vision portez-vous sur le scandale d'espionnage qui a éclaté aux Etats-Unis après les révélations d'un ancien membre des services de renseignements américain?

Les interceptions existent dans tous les pays du monde, y compris en France. Mais, elles sont habituellement mises en ?uvre dans des circonstances exceptionnelles, comme une opération anti-terroriste bien ciblée, ou un conflit. Ce qui peut apparaitre choquant dans cette affaire, c'est que des opérateurs et des FAI se prêtent à de telles pratiques, de manière systématique et continue. En France, cela n'est normalement possible que sous contrôle du juge, pour un objet et une finalité précises. Les Américains ont un rapport très particulier avec le droit, quasi religieux. Ils se préoccupent donc toujours de l'encadrement légal de ces opérations, quelle que soit leur validité (on se souvient des notes sur la licéité des « interrogatoires vigoureux »), d'où ce tribunal secret qui aurait exigé de Verizon d'obtempérer avec la NSA. Mais compte tenu de la tradition et de la jurisprudence américaines, notamment le Bill of Rights, je suis dubitatif sur le fait que la Cour suprême valide l'existence d'un tel tribunal.

Est-il envisageable pour un citoyen européen d'engager une procédure judiciaire?

Les interceptions opérées par un Etat existent depuis l'invention du courrier. C'est le fait du Prince. En revanche, des recours contre les entreprises privées qui laissent un libre accès permanent à des informations privées, sans véritable contrôle judiciaire et sans informer les utilisateurs est envisageable. Il y a indéniablement une violation sur la finalité du traitement des données personnelles des utilisateurs, ou en tout cas sur leur niveau d'information. Il y a sans doute également une violation du droit d'accès et de rectification des utilisateurs, puisque par exemple la modification ou la suppression de données sur un réseau social ne conduit pas pour autant à la même suppression dans les serveurs de la NSA qui stockent ces informations.

Il y a donc des moyens réels de poursuites...

La difficulté est toutefois l'applicabilité de la loi Informatique et Libertés. C'est un sujet récurrent et les entreprises américaines de l'Internet adoptent ici un argument similaire à celui sur les questions de fiscalité. Elles estiment qu'en l'absence de structures de traitement sur le territoire français, elles ne sont pas soumises à sa législation. D'après elles, le traitement étant localisé sur le sol américain, elles ne sont soumises qu'aux lois américaines. Plusieurs décisions judiciaires ont toutefois trouvé un moyen pour répondre à cet argument. Elles ont estimé que le traitement de données commence dès sa collecte, soit au niveau de l'ordinateur d'un utilisateur. Si celui-ci est situé en France, alors, la société devrait être soumise aux lois françaises.

Que peut faire l'Europe?

La Commission européenne est la courroie la plus efficace. Elle avait déjà arraché un accord avec les Américains sur la transmission de données de passagers aériens (les fameux PNR), ou encore sur SWIFT, le système de règlements interbancaire. C'est vrai que cela s'annonce long et compliqué. Les Américains sont hostiles à tout ce qui entrave la collecte et l'utilisation des données personnelles. Ce sera d'autant plus difficile pour la Commission, que les entreprises américaines de l'Internet ont engagé un important lobbying contre son projet de réforme de la directive de 1995 qui harmonise les règles en matière de protection des données personnelles au niveau européen. Bruxelles souhaite en effet renforcer leur protection, élément clé d'une liberté fondamentale.