REUTERS/Sigtryggur Arie
L’Union européenne a osé l’impensable, résister aux États-Unis ! Et pas dans n’importe quel domaine, mais dans celui qui est au cœur de la souveraineté étatique, celui de la « sécurité nationale ». La Cour de justice européenne a, en effet, jugé, le 6 octobre dernier, dans une affaire opposant un citoyen autrichien à Facebook, que les entreprises américaines ne pouvaient pas transmettre les données personnelles des Européens vers les États-Unis, celles-ci n’y bénéficiant d’aucune protection réelle ce qui porte « atteinte au contenu essentiel du droit fondamental au respect de la vie privée » et à l’État de droit.
Tous les accords trouvés avec les États-Unis depuis 15 ans s’effondrent donc d’un coup : non seulement Facebook, Google, Apple, Amazon et autres géants américains ne pourront plus transmettre de données vers le territoire américain, vers c’est aussi vrai pour les compagnies aériennes (PNR, passenger name recorder) ou encore les banques (SWIFT) européennes.
Ce qu’a fait la Cour, aucun État membre n’a osé le faire vu les implications diplomatiques et économiques. Bien au contraire : depuis 2000, ils ont toujours cédé face aux exigences de plus en plus grandes des Américains en matière de transfert de données personnelles, alors que, au nom de leur doctrine extensive de sécurité nationale, ils refusent de respecter la vie privée du reste du monde (mais aussi des Américains depuis le Patriot Act, mais cela, c’est leur affaire). Pis : l’affaire Snowden a montré que les États-Unis, en matière de collecte de données, ne s’embarrassaient pas des normes inhérentes à l’État de droit. La Commission et le Parlement européen, largement soumis à l’influence des gouvernements de l’Union, ne se sont pas montrés plus exigeants, se contentant des protestations de bonne foi des autorités américaines. Il faut dire que les États-Unis n’ont pas hésité à menacer les Européens de mesures de rétorsion s’ils se montraient un peu trop regardants, par exemple en interdisant aux compagnies aériennes européennes qui ne transmettraient pas les données personnelles de leurs passagers d’avoir accès à leur territoire… Certes, les Européens pourraient faire de même, mais l’Union n’est pas une fédération achevée et les États, qui gardent l’essentiel de leurs prérogatives souveraines contrairement à une légende tenace, ont eu trop peur d’être ciblés individuellement par les Américains pour entrer dans un tel bras de fer. La Commission et le Parlement n’ont fait que prendre acte de ce rapport de force.
Le «safe harbor», une coquille vide
Néanmoins, pour rassurer les citoyens inquiets, la Commission a créé un cadre juridique, en 2000, censé offrir une protection équivalente à celle qui existe dans l’Union pour les données transmises aux États-Unis. C’est le fameux « safe harbor » ou « sphère de sécurité », une sorte de code de bonne conduite reposant, comme le dit la Cour de Luxembourg, « sur l’autoévaluation et l’autocertification » des entreprises américaines, censé garantir, notamment, un droit d’accès et de rectification aux citoyens européens. C’est ce « safe harbor » que la Cour a démoli : pour elle, il s’agit d’une coquille vide, ce qui ne constitue pas vraiment une surprise. Elle souligne ainsi qu’il « est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises. En outre, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences ».
En clair, les autorités américaines peuvent se servir librement, sans aucun principe de proportionnalité, dans les serveurs des entreprises sans avoir à respecter les droits fondamentaux de la personne. En effet, les citoyens européens n’ont aucun droit d’accès, de rectification, de suppression des données les concernant et qui sont traitées par les autorités américaines. De même, ils ne disposent d’aucune voie de recours judiciaires, ce qui les prive « du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l’existence d’un État de droit ». Pour la Cour, la « sphère de sécurité » n’offre donc absolument pas un « niveau de protection équivalent » à celui qui existe dans l’Union. Mieux : la Cour estime que le constat par la Commission de l’existence d’un niveau de protection des données équivalent ne prive nullement les autorités nationales de protection des données (comme la CNIL en France) de leur pouvoir de contrôler au cas par cas que tel est bien le cas. Autrement dit, la protection dont bénéficient les citoyens européens est triple : par la Commission, par la Cour de justice qui contrôle la Commission et par les autorités nationales qui s’assurent que dans chaque cas les droits des Européens sont protégés.
Les entreprises prises en étau
La Commission et les États membres ont donc reçu un véritable coup de massue de la part du juge européen. C’est toute la beauté du système communautaire : il peut se montrer plus grand que la somme des États et des intérêts nationaux. « La Cour de justice a pallié la défaillance du législateur », estime Nathalie Martial-Braz, professeure de droit privé à l’Université de Bourgogne-Franche Comté et spécialiste du droit numérique. « En l’absence de texte, elle assure elle-même la protection nécessaire ». La Cour a fait exactement la même chose, le 13 mai 2014, dans l’affaire Google Espagne, en consacrant le droit à l’oubli numérique et en mettant fin au régime d’irresponsabilité organisé par les géants américains (cela s’applique aussi à Wikipédia, organisme sans but lucratif).
Les conséquences de l’arrêt Facebook sont énormes, tant d’un point de vue diplomatique, d’où la gêne à peine dissimulée de la Commission qui se retrouve avec une grenade dégoupillée entre les mains en pleine négociation du traité transatlantique (TTIP), qu’économique : « tous les transferts de données personnelles vers les États-Unis sont désormais invalides », souligne Nathalie Martial-Braz. Certes, les entreprises peuvent encore utiliser des clauses contractuelles entre elles (les BCR), mais elles devront être validées par les autorités nationales de régulation, ou encore demander le consentement express de chaque personne… Ce qui s’annonce complexe, quand on sait que 95 % des données passent par le « safe harbor ».
Pour Nathalie Martial-Braz, « les entreprises sont prises dans un étau : soit elles arrêtent de transférer des données et elles s’exposent à des sanctions américaines, soit elles continuent et elles s’exposent à des sanctions européennes ». Et là, on touche du doigt les limites du droit européen et des différents droits nationaux : les sanctions pécuniaires restent, contrairement à ce qui se passe aux États-Unis, largement symboliques en Europe. En clair, cela devrait conduire les entreprises à… ignorer l’arrêt de la Cour de justice, car cela leur coûtera infiniment moins cher. Le seul moyen de résister au rouleau compresseur américain serait donc que le législateur européen instaure des sanctions à la hauteur de l’enjeu, sauf à rendre symbolique la protection offerte par le droit européen. Autrement dit, dans l’affaire Facebook, l’Union a fait la démonstration de sa raison d’être. Mais la Commission et les États peuvent parfaitement faire la démonstration inverse en privant de griffes et dents les juges européens. Avec le risque d’accroitre l’euroscepticisme, car c’est « l’Europe » qui sera rendue responsable de cette incapacité à agir. Et non les États membres.
N.B.: article paru dans l’Hémicycle de novembre 2015