Résumé de l’épisode précédent…
Max Schrems, étudiant en droit autrichien de son état, découvre que Facebook détient toujours des informations personnelles pourtant supprimées. De juridiction en juridiction, le cas Facebook arrive jusqu’à la CJUE.
Et dans l’épisode d’aujourd’hui : le Safe Harbor est-il valide ?
L’affaire Snowden
Sauf à vivre totalement coupé des médias depuis des années, vous avez forcément entendu parler d’Edward Snowden ou en tout cas du pavé qu’il a lancé dans la mare internationale.
Son histoire publique commence le 6 juin 2013. Snowden est alors consultant à la puissante NSA, la National Security Agency américaine.
Ce fameux 6 juin1, des journaux comme The Guardian ou le Washington Post révèlent que les États-Unis mènent depuis au moins 7 ans des programmes massifs d’interception des communications téléphoniques et électroniques des citoyens américains mais aussi étrangers.
Grâce aux documents fournis par Snowden, les révélations s’enchaînent presque quotidiennement. Le grand public découvre alors un immense réseau de surveillance, à l’échelle mondiale. Au profit des USA, d’abord, avant que la presse ne montre également l’implication d’autres services de renseignement, comme le GCHQ britannique.
Au final, on apprend que (morceaux choisis2) :
- les renseignements américains ont leurs accès dans la plupart des routeurs de coeurs de réseau, et profitent ainsi d’un accès quasi-illimité aux télécommunications ;
- personne n’est épargné : du simple « sans-dent » cher à notre Président jusqu’au puissant Vladimir Poutine, tout le monde est concerné
- le programme PRISM permet la surveillance en temps réel d’à peu près toutes les communications électroniques, et que la NSA s’en servait (s’en sert ?) pour espionner notamment des représentations diplomatiques et des institutions de l’Union européenne. Le tout entre alliés, bien entendu…
Quel rapport avec le Safe Harbor ?
J’y viens.
On l’a vu dans l’épisode précédent, le Safe Harbor est un cadre juridique qui permet aux entreprises américaines de se conformer plus simplement à la législation européenne sur la protection des données personnelles. Comment ? En garantissant notamment un niveau de sécurité de ces DCP équivalent ou supérieur à celui en vigueur dans l’EEE.
C’est donc ce cadre que la CJUE a utilisé lors de l’examen du dossier Schrems vs Facebook. Et le raisonnement a été très simple :
- Facebook exporte des DCP hors de l’EEE.
⇒ Ceci nécessite une autorisation (les Clauses Contractuelles Type) ou une exception. - Facebook utilise l’exception du Safe Harbor pour légaliser ce transfert.
⇒ Cette exception doit être toujours valide au sens du droit. - Le Safe Harbor autorise des transferts vers les États-Unis. Or les États-Unis ne fournissent pas les garanties de confidentialité exigées par l’UE.
⇒ Le Safe Harbor est invalidé. - Facebook ne justifie d’aucune autorisation spécifique pour les transferts opérés.
⇒ Ces transferts sont illégaux et doivent cesser.
Patatras… le 16 octobre 2015, la CJUE rend un arrêt devenu célèbre sous le nom d’arrêt Schrems (PDF), condamnant Facebook et invalidant au passage le Safe Harbor.
Néanmoins consciente de l’impact de sa décision, la CJUE a laissé un délai de quelques mois aux législateurs européens et américains pour rectifier le tir. Leur réponse a été le Privacy Shield, adopté le 12 juillet 2016.
On en reparle au prochain épisode.
-
2013, pas 1944. ↩︎
-
mes lecteurs intéressés consulteront la très bonne page Wikipédia consacrée à Snowden pour la chronologie complète des publications. ↩︎