Le 6 Octobre dernier, la Cour de Justice Européenne de l’Union Européenne a rendu son verdict : le Safe Harbor n’est plus en mesure de protéger efficacement les données des internautes européens. Cette décision découle directement de l’activisme de Maximilian Schrems, un autrichien qui a fait de la protection de la vie privée numérique son cheval de bataille.

Le Safe Harbor, ou Sphère de sécurité, est un accord censé encadrer le stockage de données d’utilisateurs européens par des entreprises américaines directement sur leur sol. Censé seulement car la Cour de Justice de l’Union Européenne (CJUE) a décidé de suspendre cet accord. Ce dernier reposait sur l’assurance que les données stockées aux Etats-Unis l’étaient avec un niveau de protection au moins équivalent à celui des pays membres de l’Espace Economique Européen (EEE). Ainsi, selon cet accord, les géants du web –et d’autres- se doivent de notifier aux utilisateurs que leurs données sont stockées et de quelle façon elles seront utilisées. De même, tout individu doit pouvoir accepter, ou non, le transfert de ces données vers une tierce personne.

La décision de la CJUE fait suite à une plainte déposée par Maximilian Schrems, un autrichien de 26 ans, à l’encontre de Facebook. L’histoire commence lorsqu’en 2011, étudiant en droit, Maximilian effectue un voyage d’études aux Etats-Unis. Sur place, il assiste à une conférence au cours de laquelle un salarié de Facebook parle des lois européennes sur la vie privée. Grossomodo, ce salarié explique à l’auditoire qu’ils peuvent « faire ce qu’ils veulent, tant que personne ne dit non, vous pouvez continuer à utiliser ces données. » Le jeune autrichien, alarmé par ces propos, demande alors au réseau social de lui faire parvenir une copie des données qu’il a emmagasinées à son sujet –ce qui est possible pour n’importe qui. Il s’aperçoit que Facebook a bien conservé toutes les données de ses activités, même celles qu’il avait supprimées. En réaction, Maximilian lance le site EuropeVsFacebook, pour sensibiliser les internautes à ce problème, et porte plainte contre l’entreprise. Cette démarche n’aboutira pas, mais Max Schrems ne baisse pas les bras. Suite aux révélations d’Edward Snowden sur le programme de surveillance de masse mis en place par la NSA, il réitère sa plainte et cible cette fois plusieurs autres entreprises, notamment Apple et Yahoo. Finalement, c’est la plainte déposée à l’encontre de Facebook qui aboutit à l’annulation du Safe Harbor par la CJUE. Cette dernière estime que l’entreprise « porte atteinte au droit fondamental à la vie privée. »

Dès lors, ces entreprises américaines se trouvent dans un vide juridique. Depuis cette décision, elles ont d’ailleurs appelé d’une voix unanime les autorités européennes à remettre sur pied une législation leur permettant de continuer leurs activités dans un cadre légal. En fait, elles peuvent déjà le faire en utilisant d’autres outils, tels l’acceptation en ligne par les usagers d’une politique sur le traitement des données, ou la signature de traités entre ces entreprises et des Etats seuls. L’inconvénient de ce second point est qu’il va à l’encontre de l’établissement d’une juridiction unique à l’échelle européenne. Ainsi, la renégociation du Safe Harbor est déjà en vue. Et il faudra considérer attentivement les garanties que les Etats-Unis peuvent apporter, eux qui sont à l’origine du programme PRISM –le programme de surveillance de la NSA. Comment être sûr que les datas des internautes européens ne se retrouveront pas entre les mains des services américains, d’autant plus lorsque Facebook et les autres ont déclaré, avec plus ou moins de bonne foi, qu’ils ignoraient tout des agissements de l’agence américaine ? Dans tous les cas, Max Schrems, qui souhaitait « faire réfléchir les autorités et les internautes sur cette problématique », a réussi son coup.

Thomas Le Hetet