S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par Jet Lambda

Le Safe Harbour prend l'eau – et après?

La justice européenne vient de rendre un arrêt qui ouvre une nouvelle brèche visiblement préoccupante pour le modèle économique des mastodontes du Big Data. La Cour de justice de l'UE, sise au Luxembourg (CJUE), vient en effet d'invalider un des piliers du libre échange de données personnelles entre les USA et l'Europe. C'est ce cadre juridique, appelé "Safe Harbour", qui a fait les frais de l'arrêt du 6 octobre [cf un résumé de la cour].

navirenaufrage
navirenaufrage
La justice européenne vient de rendre un arrêt qui ouvre une nouvelle brèche visiblement préoccupante pour le modèle économique des mastodontes du Big Data. La Cour de justice de l'UE, sise au Luxembourg (CJUE), vient en effet d'invalider un des piliers du libre échange de données personnelles entre les USA et l'Europe. C'est ce cadre juridique, appelé "Safe Harbour", qui a fait les frais de l'arrêt du 6 octobre [cf un résumé de la cour].

Cela fait 15 ans qu'il permet à des entreprises non européennes d'exploiter des données privées de citoyens européens, procédé devenu le cœur de métier des multinationales. En y regardant de plus près, ce "havre de paix" ("sphère de sécurité" selon la traduction de la cour), est presque aussi parlant que la maxime orwellienne "La liberté c'est l'esclavage". Ce cadre juridique prétend que les législations des Etats signataires du Safe Harbour sont "adéquates" vis à vis des lois européennes de protection des données personnelles, réputées comme les plus exigeantes en la matière. L'arrêt de la cour du Luxembourg met en charpie cette "adéquation" supposée. Même si ça fait 15 ans que ça dure.

C'est un citoyen autrichien, Max Schrems, inquiet du sort que le géant Facebook réservait à ses données, suite aux révélations de Snowden, qui a porté plainte en Irlande, lieu où ses données étaient stockées avant d'être transférées aux USA, plainte qui est parvenue, au gré d'un parcours sinueux, jusqu'aux juges européens. Cela fait de nombreuses années que des doutes sérieux ont été émis sur le faiblesse de la protection d'un tel cadre juridique. Mais aucun gouvernement ne l'a dénoncé, puisque'il a été négocié, à la fin des années 90, par le Commission européenne (CE). C'est la CE qui se prend l'arrêt du 6 octobre en pleine poire:

À cet égard, la Cour rappelle que la Commission était tenue de constater que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union (...). La Cour relève que la Commission n’a pas opéré un tel constat, mais qu’elle s’est bornée à examiner le régime de la sphère de sécurité. En outre, les exigences relatives à la sécurité nationale (...) l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences. Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences.

La Cour de justice ne fait qu'enfoncer le clou. Elle a déjà envoyé un signal identique il y a dix-huit mois. En avril 2014, la même cour a invalidé une autre mesure clé de la police numérique : la conservation de toutes les données, de connexion et de trafic, qu'un individu laisse derrière lui sur les réseaux. Mesure destinée à pouvoir identifier n’importe qui n’importe quand, pour, bien sur, prévenir le terrorisme ou toute "infraction grave". C'est la directive de 2006 sur le "rétention des données" qui s'est trouvée, dans un arrêt d'un 8 avril 2014, elle aussi invalidée (arrêt que Reflets.info avait analysé en profondeur à l'époque).

Ce nouvel acte juridique, salué comme il se doit par les ONG, ne doit tout de même pas nous faire rêver. Exactement comme dans le cas de la directive devenue illégale 8 ans après son entrée en vigueur, la condamnation du Safe Harbour n’entraîne aucune conséquence concrète pour le plaignant Max Schrems et ses centaines de millions de congénères. La Cour n'a aucune compétence pour exiger quoique ce soit en matière de pratiques commerciales et n'a pas non plus les moyens d'exiger de l’exécutif européen qu'il prennent immédiatement des mesures pour que l'invalidité du cadre attaqué protège mieux les utilisateurs. En matière juridique, une décision peut pourtant s'imposer au forceps si le "trouble manifeste" pour les personnes concernées – soit à peu près toute la population qui utilise un moyen de communication numérique – est avéré; ce que ne constate donc pas la CJUE. Exactement comme lorsque la directive "rétention des données" a été recalée : aucune donnée stockée abusivement n'a été détruite, et la Cour ne l'a d’ailleurs jamais demandé. Il n'aurait pas été scandaleux que le transfert des données de Facebook vers les USA soit purement et simplement suspendu de manière conservatoire. Rien de tout cela n'a même été envisagé.

Facebook, l'entreprise qui est censée avoir perdu cette bataille judiciaire, ne s'en cache pas : elle s'empresse de ne rien faire, à part juger "impératif que les gouvernements de l'UE et des États-Unis assurent qu'ils continuent de fournir des méthodes fiables pour des transferts légaux de données". La brèche ouverte par cet arrêt de la CJUE apparait donc aussi efficace qu'un coup de canif dans la coque d'un cuirassé.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée