L'Europe peut-elle empêcher le transfert des données hors de ses frontières?

Maximilian Schrems est-il le Snowden européen ? Et que penser de l'action du jeune avocat autrichien contre Facebook, dont il a été pourtant aficionado, qui a débouché sur l'invalidation par la Cour de Justice de l'Union européenne le 6 octobre 2015 du « Safe Harbor », l'accord entre l'UE et les Etats-Unis qui depuis 15 ans régule les échanges de données personnelles entre les deux grands partenaires commerciaux ? Répond-elle à l'intérêt public ? Ce n'est pas sûr, dans la mesure où le vide juridique ainsi créé rend ces échanges illégaux sans qu'il y ait de véritable alternative pour garantir la sécurité juridique indispensable aux relations économiques internationales.

Le sous produit de l'affaire Snowden

Tout cela résulte du fait que, pour condamner le Safe Harbor, la Cour européenne se fonde uniquement sur les pratiques des services de renseignements américains méconnaissant selon elle le droit à la vie privée et à la protection des données consacré par la Charte des droits fondamentaux de l'Union européenne. Il est clair que l'arrêt Schrems est un sous-produit de l'affaire Snowden. L'ancien agent de la National Security Agency avait dénoncé les pratiques de surveillance de l'agence consistant à demander un accès indifférencié aux métadonnées (identité des personnes et date de leurs échanges sur internet) stockées dans les systèmes des entreprises américaines. Sauf à modifier en profondeur l'organisation de ses services de renseignement pour limiter cet accès à des informations strictement ciblées et au cas par cas, plus aucune donnée personnelle ne pourra à l'avenir être transférée de l'Europe vers les Etats-Unis : voilà le message de la Cour européenne.

Un nouvel accord?

Si le groupe dit de l'article 29, réunissant les autorités nationales de protection des données de l'Union européenne telle que la CNIL, n'avait cru bon de reporter l'application de l'arrêt Schrems au 31 janvier 2016 - délai estimé suffisant à la renégociation d'un nouveau Safe Harbor - les quelques 5000 entreprises adhérentes seraient actuellement passibles de poursuites.

Un nouvel accord protégeant les entreprises d'une telle éventualité sera-t-il conclu à la date fixée? Ce n'est pas certain, car face aux exigences de la lutte contre le terrorisme islamiste, en particulier après les massacres du 13 novembre à Paris, les priorités ont changé. Les Etats membres de l'Union veulent un renforcement du renseignement. En témoigne la pression opérée sur le Parlement européen pour lui faire admettre - enfin - la mise en place du Passenger Name Record (PNR) assurant la traçabilité des passagers aériens à l'arrivée et au départ du territoire de l'Union. Quant au gouvernement américain, après l'adoption en 2015 par le Congrès de réformes limitant l'accès des services secrets aux données du secteur privé et au vu des nouvelles lois françaises et britanniques sur le renseignement, il est d'autant moins enclin à aller plus loin que les Etats européens sont demandeurs d'une coopération UE/Etats-Unis plus étroite en ce domaine.

Les transferts de données hors d'Europe potentiellement condamnés

Force est de constater que l'arrêt Schrems, au-delà même du Safe Harbor, condamne potentiellement en réalité l'ensemble des transferts de données personnelles de l'Union européenne vers des pays tiers. La Cour incite les autorités de protection des données à enquêter en effet sur le respect par ces pays, où sont transférées des données sur les citoyens européens, des exigences de la législation européenne, y compris en ce qui concerne les pratiques de leurs services secrets. Elle les autorise même à suspendre tout transfert vers les pays ne satisfaisant pas aux critères définis dans l'arrêt Schrems.

Ces autorités se trouvent ainsi désormais mandatées, dans le cadre de l'instruction des plaintes déposées devant elles, pour s'assurer des pratiques des services de renseignements des pays de transfert... Est-ce réaliste quand on sait l'importance du commerce entre la Chine et l'Union européenne, par exemple ? Et comment la France dont de plus en plus de start ups partent avec succès à la conquête du monde, notamment avec les objets connectés, va-t-elle pouvoir bénéficier des échanges de données à la base de cette technologie ?

Rapatrier tous les clouds en Europe?

Là où le bât blesse, c'est que la Cour estime que le droit européen de la protection des données prévaut sur toute législation étrangère, même celle relevant de la souveraineté nationale. Résultat : elle fragilise les procédures alternatives - que sont les « clauses contractuelles type » et les « règles contraignantes d'entreprise » - qui ne sont pas plus aptes que le Safe Harbor à garantir par elles-mêmes le respect des exigences de l'arrêt Schrems. Maximilian Schrems poursuit son oeuvre de justicier en multipliant les plaintes : il propose de rapatrier en Europe tous les clouds abritant des données sur les Européens. Vaste programme !

Refermer la boîte de Pandore ouverte par la Cour européenne ne sera donc pas chose aisée.

Noëlle Lenoir, ancienne ministre française des Affaires européennes, est actuellement présidente de l'Institut de l'Europe d'HEC Paris. Elle est également présidente du Cercle des Européens, un think tank dont elle est la fondatrice. Elle a été la première femme et la plus jeune membre nommée au Conseil constitutionnel français.

© Project Syndicate 1995-2016