La justice européenne pourrait porter un coup sérieux aux accords de protection de données personnelles entre l'Europe et les États-Unis en décidant cette semaine si un État membre peut interdire le transfert de données Facebook outre-Atlantique, compte tenu de la surveillance massive pratiquée par Washington.
Cette décision de la Cour européenne de justice, attendue mardi matin, va évaluer la validité de l'accord «Safe Harbour», permettant aux entreprises américaines de transférer sur le sol américain des données personnelles des citoyens européens.
Aux yeux de ses détracteurs, cet accord, instauré il y a quinze ans, n'est pas jugé adapté au développement de l'internet. Il est contesté par le Parlement européen qui veut sa suspension pure et simple.
Il y a moins de deux semaines, l'avocat général de la Cour, Yves Bot, a porté la première estocade, estimant que «Safe Harbour» n'assure pas un niveau suffisant de protection aux Européens et qu'il est «invalide».
En cause: la collecte pratiquée «à grande échelle» par les États-Unis des données à caractère personnel de citoyens de l'Union qui sont transférées, «sans que (ces derniers) bénéficient d'une protection juridictionnelle effective». Qui plus est, «la surveillance exercée par les services de renseignement américains est massive et non ciblée».
Washington a immédiatement répliqué, jugeant l'avis de l'avocat général fondé sur «des assertions inexactes».
«Les États-Unis ne pratiquent pas et n'ont pas pratiqué de surveillance non ciblée de quiconque, y compris de citoyens européens lambda», a affirmé la représentation américaine à Bruxelles. Et de rappeler que d'intenses négociations sont en cours pour renforcer «Safe Harbour».
La Commission européenne veut depuis longtemps réviser cet accord qualifié de «fromage plein de trous» par l'ancienne commissaire responsable du dossier Viviane Reding. Si l'avis de l'avocat général est suivi, comme c'est souvent le cas, elle devrait dans la foulée faire des annonces dans ce sens.
David contre Goliath
L'individu à l'origine de cette affaire est un juriste autrichien de moins de 30 ans, Max Schrems, devenu en quelques années la bête noire de Facebook.
Encore étudiant, M. Schrems avait déposé un recours devant l'Autorité irlandaise de protection de la vie privée, car Facebook - dont le siège européen se trouve en Irlande - transfère tout ou partie des données de ses utilisateurs en Europe sur des serveurs aux États-Unis, où elles sont conservées.
Une pratique qui a hérissé au plus haut point le jeune homme, surtout après les révélations de l'Américain Edward Snowden sur les pratiques de l'Agence nationale de sécurité américaine (NSA). Sa plainte a été rejetée, sans pour autant entamer sa détermination: en 2014, il a lancé un recours collectif contre le réseau social aux 1,4 milliard d'utilisateurs et a réussi à rassembler 25 000 usagers.
C'est sur la plainte en Irlande que la Cour européenne de justice a été saisie. Si elle va dans le sens de son avocat général mardi, elle reconnaîtra aux autorités nationales de contrôle, comme la Commission nationale de l'informatique et des libertés (Cnil) en France, la possibilité de suspendre le transfert de données vers les États unis.
Conscient de la nécessité de rétablir la confiance entre les deux blocs, l'exécutif européen a déjà obtenu début septembre, après quatre années de négociations, que les Européens puissent saisir la justice américaine en cas d'utilisation abusive de leurs données personnelles outre-Atlantique.
Cet accord de protection des données (baptisé «Umbrella agreement») doit encore être approuvé par le Congrès avant d'entrer en vigueur.
La décision de mardi sera très surveillée des deux côtés de l'Atlantique au moment où États-Unis et Europe négocient péniblement un vaste accord de libre-échange et connaissent des frictions autour des grands groupes technologiques américains (Google, Apple, Amazon...), dont certaines pratiques notamment fiscales sont dans le collimateur de Bruxelles.