Le Safe Harbor (Sphère de sécurité), un cadre juridique conclu entre les Etats-Unis et l’Europe, autorise les entreprises américaines à rapatrier les données de leurs clients européens vers leurs serveurs situés sur le sol Etats-Unien. Problème, une fois aux Etats-Unis, ces données pouvaient être alors « surveillées » par les grandes oreilles de la NSA puisqu’elles « tombaient » directement sous la législation américaine. Dans le contexte d’un internet post-Snowden, ce chèque en blanc accordé par la Commission européenne n’avait pas vraiment convaincu un citoyen autrichien du nom de Max Schrems, qui estimait que la récupération de ses données personnelles par des sociétés comme Facebook contrevenaient à ses droits en tant que membre de l’union européenne; et d’en appeler à la Cour de Justice Européenne pour qu’elle se prononce sur la légitimité pleine et entière d’un tel accord.
La CJUE vient donc de rendre son avis, et a abonde sans états d’âme dans le sens des arguments de Max Schrems en invalidant purement et simplement le Safe Harbor: « le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays » indique le rendu de la Cour, ce qui signifie que les entreprises US qui transfèrent aujourd’hui les données de leurs clients européens vont devoir trouver une nouvelle solution…ou amender les contrats passés avec leurs utilisateurs. Pire encore, la CJUE estime même que les Etats-Unis sont en situation de pouvoir traiter les données des européens largement au delà de ce qui est « strictement nécessaire et proportionné à la protection de la sécurité nationale« , ce qui est clairement la formulation (polie) d’un soupçon d’espionnage, une première dans un jugement de la CJUE vis à vis des Etats-Unis.
L’autre décision forte de la CJUE consiste à replacer en centre du jeu les CNILs des différents pays européens : « Dans son arrêt de ce jour, la Cour estime que l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la Charte des droits fondamentaux de l’Union européenne et de la directive. La Cour souligne à cet égard le droit à la protection des données à caractère personnel garanti par la Charte ainsi que la mission dont sont investies les autorités nationales de contrôle en vertu de cette même Charte« .
En somme, la Cour Européenne de Justice vient de donner un sacré coup de pied dans ce qui s’apparentait jusque là à un arrangement tacite faisant peu de cas du respect des données des citoyens européens. Impossible d’affirmer aujourd’hui que ce jugement de la CJUE se traduira par des transferts de ferme de serveurs vers l’Europe (on peut légitimement douter qu’on en arrive là), mais il semble désormais impossible d’en rester au statu-quo.
