L’affaire « safe harbor » : un acte d’indépendance numérique

Le 17 novembre 2015 par Olivier de MAISON ROUGE

À l'heure où les données sont devenues des instruments stratégiques de première envergure, la remise en cause de l'accord "safe harbor" par la cour de justice de l'Union européenne s'apparente à un acte d'indépendance numérique. Toutefois, dans un monde numérique largement dominé par les États-Unis, la voix de l'Europe peut-elle espérer avoir droit de cité ?

Si le phénomène n’est désormais guère nouveau, on assiste encore et toujours à une véritable révolution économique dans le champ de l’exploitation des données numériques et précisément de l’acquisition des connaissances comportementales de la clientèle, du fait d’une large dématérialisation des échanges et des moyens d’enregistrement des éléments de communication, à l’échelle mondiale.

Ce faisant, cette économie immatérielle a fait émerger des acteurs économiques dont le savoir-faire consiste notamment à collecter, conserver, traiter, analyser, identifier et interpréter les attitudes des consommateurs à partir de leurs données. Le produit de ce travail constitue un avantage concurrentiel ciblé pour son utilisateur.

C’est d’ailleurs tout l’enjeu actuel de l’intelligence économique qui se veut un droit de l’information stratégique (et pas nécessairement un droit à l’information stratégique) et de la sécurité économique (ISSE).

Ce constat de la collecte et du traitement des données vaut tout autant en politique ainsi que le démontre l’utilisation du logiciel Nation builder, qui a contribué à la réélection de Barack OBAMA par son traitement catégoriel des informations sur les électeurs ainsi mieux identifiés et sollicités.

Un constat préalable : la donnée est le pétrole du 21ème siècle

L’accès aux informations pertinentes est effectivement devenu une préoccupation majeure et les données constituent incontestablement le pétrole du 21ème siècle, dans un monde toujours plus ouvert, d’hyper-communication peu ou prou consentie des renseignements personnels. En cela, le contenu – créateur de valeur – assure sa primauté sur le contenant.

Il est par ailleurs intéressant de voir de quelle manière les nouveaux géants de l’économique numérique (Airbnb, Uber, Tripadvisor, …) fondent leur puissance sur la seule collecte de données, leur compilation puis la revente sous forme de contacts commerciaux, sans investissement en biens corporels, si ce n’est de publicité. S’agirait-il d’une économique développée hors sol, s’interrogent certains ? Probablement pas mais un nouveau business model où le profit va à celui qui dispose de l’information pertinente.

Ce faisant, dans ce nouveau schéma d’analyse stratégique, les compétiteurs économiques s’obligent désormais à se déposséder – au moins partiellement – de leurs propres données commerciales, au profit de multinationales du Big Data, ce qui n’est certainement pas sans risque notamment en matière de confidentialité des secrets d’affaires des entreprises. Dans divers milieux économiques, en off, certains s’en émeuvent et réfléchissent aux dangers émergents qui en découlent.

En tout état de cause, entre Big data et Open data, les deux philosophies s’affrontent désormais plus que jamais, érigeant indéniablement les données collectées, analysée et restituées en valeur supérieure.

Sur ce front, ainsi que cela ressort du projet de loi numérique, la CNIL et la CADA devraient poursuivre leurs efforts de rapprochement en vue de créer un grand « service public de la donnée », destiné à contrôler davantage les droits d’accès aux informations personnelles et/ou substantielles, tandis qu’à l’inverse l’open data se poursuit à travers l’accès en ligne des informations du RCS sur Infogreffe, comme conséquence de la loi Macron, bien que l’initiative soit jugée encore insuffisante.

Le « SAFE HARBOR » : une décision américaine ne présentant pas le niveau de garantie requis de protection de données des citoyens européens

Sur le front judiciaire, une décision pertinente mérite une attention toute particulière.

Témoignant en effet d’un regain de souveraineté quasi inattendu, la Cour de Justice de l’Union Européenne (CJUE), dans sa décision C-362/14 en date du 6 octobre 2015, a rendu un arrêt infligeant un camouflet aux autorités de contrôle des données américaines.

En l’espèce, un internaute autrichien, du fait des révélations « d’espionnage numérique » dans la foulée du scandale Snowden, s’inquiétait que ses données personnelles recueillies depuis son compte Facebook, puissent être scrutées par la NSA ou le FBI, en vertu des lois américaines de lutte contre le terrorisme.

Or, si Facebook a effectivement son siège européen en Irlande, les données sont quant à elles exportées, conservées et traitées depuis les data centers basés aux Etats-Unis. Dès lors, elles se trouvent placées sous le contrôle des autorités américaines (et soumises aux activités de renseignement de l’Oncle Sam), pays tiers à l’Union Européenne (UE).

Ayant introduit un recours devant les juridictions irlandaises (non sans avoir tout d’abord essuyé un rejet de sa requête par l’Autorité de protection de la vie privée – équivalent de la CNIL), la High court de l’Eire (Haute Cour de justice), saisissait la CJUE d’une question préjudicielle (procès suspendu dans l’attente de l’interprétation de la règle par les instances suprêmes).

Se livrant à l’analyse des normes en vigueur s’agissant de la protection des données personnelles, la CJUE devait trancher en regard de la Directive 95/46 aux termes de laquelle, sous l’article 28 notamment, il est énoncé que chaque pays membre de l’UE doit instituer une autorité de protection des données personnelles, que des voies de recours doivent être ouvertes aux citoyens concernant l’usage et l’exploitation de leurs données,. De même, il est prévu des modalités garantissant le niveau de sécurité des données personnelles des citoyens de l’UE.

Enfin, dès lors que les données du compte Facebook étaient centralisées sur le territoire américain, la CJUE se devait d’examiner la décision américaine 200/520 du 26 juillet 2000 (dite « SAFE HARBOUR ») au vu des dispositions de la Directive 95/46 et de s’assurer qu’elle offrait les garanties nécessaires relatives au respect des règles de protection de la vie privée compatibles avec les normes européennes.

Ainsi, aux termes de l’arrêt du 6 octobre 2015, la CJUE a estimé que les Etats-Unis n’offraient précisément pas de garanties suffisantes quant à la sécurité des données à caractère personnel des citoyens de l’UE. Par conséquent, le « SAFE HARBOUR » se voit être déclaré inopérant en regard des règles de confidentialité européennes érigées par la Directive 95/46.

Comme conséquence de cette décision souveraine, le G29 (groupement franco européen des autorités de contrôle des données à caractère personnel) a été saisi afin de remédier à cette insuffisance de protection avant fin janvier 2016.

Signalons par ailleurs que le projet de loi sur le numérique (article 22) renforce la protection du secret des correspondances, ce qui n’est sans doute pas vain quand tous les opérateurs (Google, Microsoft, Yahoo, …) se trouvent tous êtres américains.

Cette pétition de principe suffira-t-elle si l’on se souvient des mots du Président américain, prononcés en février 2015, en réponse aux accusations d’espionnage numérique après les très nombreuses révélations de l’affaire Snowden, énonçant avec un ascendant affirmé que les Etats-Unis ont créé et diffusé Internet et que par conséquent ils sont propriétaires des données qui empruntent ce réseau.

En terme de domination, on ne saurait être plus clair …

Olivier de MAISON ROUGE, Avocat – Docteur en droit

Membre de la commission « secret des affaires » de l’Association Internationale pour Protection de la Propriété Intellectuelle

Membre fondateur de la Fédération européenne des experts de cybersécurité