Les « exégètes amateurs » attaquent le Privacy Shield en justice
Sous l’égide du collectif des « exégètes amateurs », trois associations veulent faire annuler la décision par laquelle Bruxelles a ouvert la voie au Privacy Shield.
Le Privacy Shield déplaît fortement aux « exégètes amateurs »*.
Ce groupe de travail rassemble depuis décembre 2014 des juristes et techniciens issus de French Data Network (FAI associatif), de la Fédération FDN et de La Quadrature du Net.
Le voilà qui lance une procédure devant la justice européenne pour obtenir l’annulation de la « décision d’exécution » à travers laquelle les 28 États membres de l’UE – ainsi que la Norvège, l’Islande et le Liechtenstein – ont, en date du 12 juillet 2016, donné leur feu vert audit « Privacy Shield ».
Bruxelles avait, en l’occurrence, reconnu l’adéquation de la protection assurée par ce dispositif destiné à prendre le relais du Safe Harbor (invalidé par la CJUE le 6 octobre 2015 dans le cadre d’un litige entre Facebook et un résident autrichien) pour permettre à des entreprises de transférer des données de citoyens européens vers l’autre côté de l’Atlantique.
La Quadrature du Net avait porté un premier coup dans la foulée, dénonçant une « braderie sordide de la vie privée de dizaines de millions d’internautes ».
Dans le cadre de sa plainte en association avec FDN et la FFDN (document PDF, 7 pages ; merci Next INpact), elle considère que la décision d’exécution dénoncée est contraire aux articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne.
Circonstances atténuantes
Le premier argument se focalise sur la notion d’atteinte au contenu essentiel du droit fondamental au respect de la vie privée, telle que garantie par l’article 7 de la Charte.
Dans sa décision du 6 octobre 2015, la CJUE a considéré que l’existence d’une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant une telle atteinte.
Or, la Commission européenne, reconnaît, dans sa décision du 12 juillet 2016, considérant 72, que « les composantes de la communauté du renseignement (des États-Unis) doivent parfois collecter des renseignements d’origine électromagnétique en vrac dans certaines circonstances, par exemple pour détecter et évaluer les nouvelles menaces ou les menaces émergentes ».
Elle établit aussi, au considérant 73, que « lorsque la communauté du renseignement (des États-Unis) ne peut pas utiliser des identifiants spécifiques pour cibler la collecte, elle s’efforcera de réduire « autant que possible » le champ de la collecte ». Et au 76, que « la priorité est clairement donnée à une collecte ciblée, tandis que la collecte en vrac est limitée aux situations (exceptionnelles) dans lesquelles une collecte ciblée n’est pas possible pour des raisons techniques ou opérationnelles »…
Menaces floues
En référence à l’article 8, les exégètes amateurs dénoncent l’absence de limitation au strict nécessaire des exploitations autorisées par la réglementation des États-Unis.
Ils rappellent que selon la CJUE, « n’est pas limitée au strict nécessaire » une réglementation qui ne prévoit aucun « critère objectif » permettant de délimiter l’utilisation ultérieure des données collectées à « des fins précises, strictement restreintes et susceptibles de justifier l’ingérence » que suppose une telle utilisation.
Or, la Commission européenne constate simplement que la réglementation des États-Unis prévoit que « dans les cas où les États-Unis jugent nécessaire de recueilli des renseignements d’origine électromagnétique en vrac », l’utilisation des renseignements collectés est limitée à « une liste spécifique de six motifs » (considérant 74).
Les motifs en question sont les menaces liées à l’espionnage, celles associées au terrorisme et aux armes de destruction massive, celles qui concernent la cybersécurité, celles contre les forces armées ou le personnel de l’armée, ainsi que celles de nature criminelle transnationale et liées aux cinq autres motifs.
Les plaignants estiment que la notion de lutte contre les « menaces pour la cybersécurité » est beaucoup trop vague et générale pour qu’on puisse parler d’un critère objectif de limitation d’une mesure de surveillance. Ils considèrent aussi que la décision du 12 juillet ne constate aucune limité apportée à l’exploitation des données collectées de façon ciblée (il n’est question de que collecte « en vrac »).
Un tiers de confiance ?
Le troisième axe de la plainte porte sur l’article 47 de la Charte, à l’égard duquel la CJUE a déclarée non conforme une réglementation qui ne prévoit « aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données ».
Pour les trois associations, le FISC (Foreign Intelligence Surveillance Court) et la suite de recours auxquels ses décisions peuvent ouvrir ne constituent pas un droit au recours juridictionnel effectif tel que l’entend la CJUE, car il « ne s’agit que de faire valider des programmes et non pas de permettre à des individus de se plaindre de l’existence d’une surveillance illégale sur leur personne ».
Tout en soulignant que la Commission européenne reconnaît elle-même que la protection juridictionnelle, quand bien même elle existerait, n’est souvent pas effective, La Quadrature et consorts pointent du doigt le mécanisme de médiateur.
Cette « ombudsperson » doit officier au sein du département d’État américain, « en toute indépendance » vis-à-vis des services de renseignement, pour examiner les recours des citoyens européens qui estiment qu’une entreprise américaine a commis un abus dans le traitement de leurs données personnelles.
Influences extérieures
Les exégètes amateurs affirment que l’insistance de Bruxelles sur ce médiateur révèle l’absence de conformité du système juridictionnel américain à l’exigence de voies de recours effectives, ledit médiateur étant un membre de l’administration, « coordinateur chevronné au département d’État ».
Ils mentionnent par ailleurs la décision Digital Rights Ireland du 8 avril 2014, dans le cadre de laquelle la CJUE a conclu que l’accès aux données conservées par les autorités nationales compétentes doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante.
La plus haute juridiction pour le droit européen a déjà jugé que l’indépendance fonctionnelle ne suffisait pas, à elle seule, à préserver ladite autorité de contrôle de toute influence extérieure.
Au considérant 95 de sa décision du 12 juillet, Bruxelles explique, à propos des autorités de contrôle des activités américaines de surveillance, que de multiples niveaux de supervision ont été instaurés (délégués à la protection des libertés civiles ou de la vie privée, inspecteurs généraux, conseil de surveillance du renseignement du président…).
Mais au considérant 96, il est mentionné que « selon l’appréciation des autorités nationales de protection des données, le contrôle interne exercé par les délégués à la protection des libertés civiles ou de la vie privée peut être considéré comme « assez solide », bien que de leur point de vue, ces délégués ne jouissent pas du degré d’indépendance requis »…
* Jean-Jacques Urvoas avait qualifié d’« exégètes amateurs » les opposants au projet de loi relatif au renseignement. Les trois associations disent avoir « détourné ce sobriquet pour le prendre à [leur] compte ».