Une autre sensibilité à l’égard des données personnelles On ne peut aborder les possibilités offertes par le traitement d’informations à caractère personnel sans considérer la question du droit et des sensibilités citoyennes à l’égard de la protection de la vie privée. En la matière, l’Europe et les Etats-Unis affichent de nombreux points de divergence.
La protection des données personnelles se réfère au droit au respect de la vie privée, inscrit à l’article 7 de la Charte des droits fondamentaux de l’Union européenne. Elle est également garantie par l’article 8 de la Charte. Ce droit se rattache donc aux principes fondamentaux institués au sein de l’Union européenne. Il n’en va pas de même aux Etats-Unis. Dès lors, afin d’assurer une protection suffisante de toutes les données personnelles collectées en Europe et pour s’assurer du respect des droits des citoyens, des accords particuliers ont été mis en place. Ils conditionnent le transfert des données à caractère privé en dehors du territoire de l’Union vers les Etats-Unis. C’était l’objet de l’accord « Safe Harbor », qui permettait notamment à des géants américains de l’économie digitale d’importer les données des utilisateurs européens vers les Etats-Unis et de les exploiter sur le sol américain. Un droit fondamental à garantir Les révélations d’Edward Snowden, qui ont mis au jour un espionnage de masse orchestré par les autorités américaines, ont abouti à l’invalidation de l’accord « Safe Harbor » par la Cour de Justice de l’Union européenne en octobre 2015. Face à l’étendue de la surveillance de masse opérée par les Etats-Unis, la Cour précise que l’accord « Safe Harbor » « compromet l’essence même du droit fondamental au respect de la vie privée ». Elle évoque aussi les possibilités de recours judiciaires limités pour les citoyens européens.
Tenir compte des sensibilités européennes Fin 2015, l’Union européenne et les Etats-Unis ont été pressés, par le vide juridique ouvert par l’arrêt de la Cour d’une part, et le lobbying des grandes entreprises américaines du numérique d’autre part, à renégocier un accord offrant de meilleures garanties aux citoyens et leur permettant de mieux faire valoir leurs droits. Ces négociations ont débouché sur une proposition d’accord présentée au printemps 2016 et baptisée « Privacy Shield ». Face à ces nouvelles contraintes, les géants de l’économie numérique ont réagi de manière différente. Certains acteurs ont adopté de nouvelles stratégies, tel Microsoft, qui a choisi de faire opérer ses services Cloud en Allemagne par T-Systems, filiale IT Outsourcing du groupe Deutsche Telekom, tout en chiffrant les données et en lui confiant les clefs de chiffrement. Cette stratégie opportuniste permet à Microsoft non seulement de répondre aux exigences du régulateur européen et allemand, mais aussi de se protéger contre les autorités américaines, visà-vis du Patriot Act, puisque Microsoft n’a plus aucun accès aux données, sans l’autorisation de T-Systems ou du client final. A contrario, d’autres acteurs continuent à adopter des attitudes particulièrement laxistes et prennent le risque d’être attaqués en justice par différentes autorités européennes.
Dans ce contexte, si le nouveau Règlement relatif à la protection des données personnelles vient conforter les droits des citoyens de l’Union européenne, la Cour de Justice insiste sur l’importance de pouvoir garantir ces droits dans les cas où la donnée serait exportée en dehors des juridictions des pays membres.
EBRC | DATA PROTECTION
7