Il n’est jamais trop tard pour bien faire. Et encore moins pour décider d’en faire une habitude. Plusieurs fois au cours de ces deux dernières années, la CJUE a secoué le monde de l’exploitation et du stockage des données à caractère personnel. Après la décision Digital Rights du 8 avril 2014 (CJUE, Digital Rights Ireland Ltd c/ Minister for communications, C-293/12) et le fameux Google Spain du 13 mai 2014 (CJUE, Google Spain SL et Google inc. c/ AEPD et Mario Costeja Gonzalez, C-131/12), le juge de Luxembourg a délivré un retentissant arrêt Schrems, le 6 octobre 2015 (CJUE, Maximilien Schrems c/ Data Protection Commissioner, C-362/14). Edward Snowden a salué sur Twitter cette audace qui ressemble de plus en plus à du courage :
This is the second time in as many years the world has relied upon CJEU to defend digital rights. Thank you Europe.
L’ancien employé de la NSA remercie la Cour de justice, mais il nous paraît juste de rappeler qu’il est lui-même à l’origine de cette dynamique jurisprudentielle. En 2014, Maximilien Schrems, ressortissant autrichien, réagit à la divulgation des surveillances massives pratiquées par les services de renseignement américains (principalement la NSA) via le programme baptisé PRISM. Après un recours collectif avorté devant les autorités autrichiennes, il forme une requête devant les autorités irlandaises, puisque l’État irlandais accueille la filiale européenne de Facebook et constitue le « point de transit » des données des utilisateurs européens vers les centrales de stockage de données (data centers) situées sur le sol américain.
Les griefs de l’autrichien sont les suivants : en pratiquant une récolte systématique, totale et hors de contrôle des données des utilisateurs de l’Union, Facebook achemine les données vers un État menaçant les droits fondamentaux au respect de la vie privée et à la protection des données personnelles, garantis par la Charte des droits fondamentaux aux articles 7 et 8 (CDFUE). Selon l’expression consacrée par la directive 95/46 CE (toujours en application bien que datant du 24 octobre 1995), il était soulevé par M. Schrems que le niveau de protection offert par l’État américain n’était pas « adéquat » (voir §56 de la directive).
On opposa alors à M. Schrems la décision de la Commission du 26 juillet 2000 (2000/520/CE). Ladite décision n’était autre qu’un blanc-seing nommé « Safe Harbor » conclu entre l’Union européenne et les États-Unis, prévoyant la libre circulation des données dans un cadre plutôt abstrait entre les deux territoires. L’effet retors d’un tel postulat de confiance se présenta très rapidement, avec l’adoption du Patriot Act le 26 octobre 2001 dans la foulée des évènements du 11 septembre. La brèche était ouverte et la valve de contrôle demeurait irrémédiablement entre des mains américaines. Les juridictions nationales étant liées par les décisions rendues au niveau communautaire pour assurer la primauté du droit communautaire (voir notamment CJCE, Administration des finances de l’État contre SA Simmenthal, 9 mars 1978, 106/77), l’impasse était totale.
Devant la Haute Cour de Justice d’Irlande, la question se posait de savoir si une autorité de contrôle et de régulation des traitements automatisés de données (chaque Etat européen dispose de l’équivalent de la CNIL) pouvait décider de reconnaître sa compétence et le cas échéant, bloquer le transfert de données vers un État ne disposant pas d’un niveau de protection adéquat. En théorie : oui ; en présence d’un accord bilatéral certifiant un niveau de protection adapté, non. Pour accéder à la requête de M. Schrems, il fallait donc revenir sur la décision 2000/520, et prononcer le décès du Safe Harbor. Ne pouvant répondre à cela elle-même, la HCJ irlandaise choisit d’interroger la CJUE par le biais d’une question préjudicielle.
La surprise vint du côté des conclusions de l’avocat général Yves Bot, qui le 23 septembre 2015 incitait nettement le juge européen à prononcer les derniers sacrements pour l’accord de libre-échange. Non sans panache, monsieur Bot suggérait à la Cour d’admettre qu’une autorité nationale de contrôle, en présence d’un danger manifeste de fuite des données vers un État n’offrant pas un niveau de protection suffisant, applique prioritairement la Charte des droits fondamentaux de l’Union pour prévenir toute atteinte. Quitte, pour cela, à prendre la Commission à contrepieds. Ces conclusions visaient explicitement le Safe Harbor, qui en restant appliqué permettait aux États-Unis (toujours via les données de Facebook) de réaliser une violation du droit au respect de la vie privée, du droit à la protection des données à caractère personnel (au demeurant, une curieuse séparation opérée dans la CDFUE) et du droit à un recours effectif (les ressortissants européens ne pouvant faire grief sur leur propre territoire).
Passe décisive pour Luxembourg.
Le 6 octobre 2015, la Cour a saisi la balle au bond et a mis fin à la vie du Safe Harbor (jeune à l’échelle humaine, mais bien trop longue selon nous à l’échelle juridique), réaffirmant avec fermeté la volonté européenne de ne plus se soumettre à une récolte systématique, non ciblée, non justifiée et donc disproportionnée des données (voir §33).
Lorsque Maximilien Schrems avait formé ce recours et s’était heurté aux refus des juges du fond, il avait été écrit que le combat était perdu d’avance. Le jeune juriste a déjoué les pronostics, et avec l’aide de la CJUE, a permis à l’Europe de frapper du poing sur la table des négociations du numérique. À moins d’un an de la conclusion du nouveau traité transatlantique (TTIC) et à moins de quelques mois de l’adoption du nouveau règlement sur la protection des données, la CJUE, s’il en était encore besoin, a indiqué sa position à l’égard de la protection des données à caractère personnel.
Espérons que la Commission ne détricotera pas ce qui a été fait, et partageons encore l’enthousiasme d’Edward Snowden :
« Congratulations Max Schrems. You’ve changed the world for the better ».