Max Schrems, le tombeur du Safe Harbor, s’attaque à la localisation des données

Après l’invalidation du Safe Harbor, Max Shrems pousse son avantage, et veut obliger les CNIL européennes à tirer les conséquences de la fin de cet accord. Et à obliger les GAFA à stocker les données personnelles des Européens sur le continent.

Un jeune Autrichien en 28 ans va-t-il faire plus pour la régulation du Cloud sur le Vieux Continent que la Commission Européenne depuis dix ans ? L’activiste Maximilian Schrems, (en photo) déjà à l’origine de l’invalidation de l’accord dit Safe Harbor par la Cour de justice européenne (CJUE), ouvre un nouveau front, touchant cette fois à la localisation des données personnelles des citoyens européens. Sa cible, une fois encore : Facebook.

Schrems demande cette fois à plusieurs CNIL en Europe d’ordonner au réseau social de conserver ses données sur le sol européen, arguant du fait qu’il n’existe plus (et pour cause) de cadre légal assurant le transfert de ses données sur le sol américain en toute sécurité. Pour ce faire, l’activiste a déposé deux nouvelles plaintes contre Facebook. La première auprès de l’autorité belge de protection des données, la seconde auprès de l’équivalent de la CNIL en Allemagne. Max Schrems a également mis à jour sa plainte auprès de l’autorité irlandaise, celle qui avait abouti à l’invalidation du Safe Harbor. Rappelons que Facebook opère ses activités hors des Etats-Unis depuis l’Irlande, raison pour laquelle Schrems avait choisi ce pays pour s’attaquer au réseau social. L’autorité irlandaise s’étant déclaré incompétente, la plainte avait été transmise à la CJUE qui avait fini par invalider le Safe Harbor, accord de 2001 autorisant les entreprises établies aux États-Unis, notamment les GAFA (Google, Apple, Facebook, Amazon), à recevoir des données en provenance de l’Union européenne dans un cadre légal. La CJUE a décidé de tirer un trait sur cet accord à la lumière des révélations d’Edward Snowden sur les programmes de surveillance de la NSA et sur la complicité des grands noms du Web – dont Facebook – à ces programmes.

Forcer la main des CNIL européennes

Cet accord n’existant plus, Max Schrems estime que les transferts de données vers les Etats-Unis violent la loi européenne, qui réclame que ces exports ne peuvent être effectués vers un pays offrant un niveau de protection inférieur à celui de la loi en place sur le Vieux Continent. Le jeune Autrichien se demande donc sur quelles bases légales sont assurés les transferts de ces données vers les États-Unis. Interpelé sur ce point le 12 octobre (quelques jours après la décision de la CJUE), Facebook a produit tardivement un accord contractuel, daté du 20 novembre 2015, passé entre sa filiale irlandaise et sa maison mère et encadrant les transferts d’informations entre les deux entités. « En plus de cet accord, Facebook Ireland se base sur un certain nombre d’autres moyens légaux pour transférer les données de ses utilisateurs aux Etats-Unis », assurent les avocats du réseau social, dans une lettre. Sans plus de précisions toutefois. Max Schrems conteste la légalité de ces accords, censés suppléer la disparition du Safe Harbor, au regard des révélations d’Edward Snowden sur des programmes de surveillance comme Prism.

Pour forcer les CNIL européennes à prendre ce qu’il estime être tirer les conséquences logiques de la décision de la CJUE, le jeune Autrichien pourra s’appuyer sur les fractures qui apparaissent entre ces différentes autorités de contrôle. Fin octobre, l’administration allemande a mis en doute la voie préconisée par la Commission européenne après la fin du Safe Harbor, soit la mise en place rapide d’alternatives basées sur des accords contractuels. Indiquant qu’elle bloquerait tout nouveau transfert de données exploitant ces mécanismes. Conséquence, selon Johannes Caspar, le responsable allemand de la protection des données : « Quiconque souhaite échapper aux conséquences légales et politiques du jugement de la CJUE devrait dans le futur étudier le stockage des données personnelles uniquement sur des serveurs situés au sein de l’UE ».

Max Schrems explique que les plaintes déposés en Irlande, en Belgique et en Allemagne font partie d’un « premier round » ; d’autres devraient suivre dans d’autres juridictions européennes. Dans un communiqué, l’activiste précise : « je n’ai aucune doute qu’une large majorité des autorités européennes de protection des données enquêteront correctement sur les plaintes et prendront les actions qui s’imposent. Néanmoins, dans un cas particulier, j’ai senti le besoin de clarifier le fait qu’une résistance délibérée à faire le travail pourrait avoir des conséquences personnelles pour les responsables concernés ».

Safe Harbor 2 dans l’urgence

Rappelons que, suite à l’invalidation du Safe Harbor, la Commission européenne a relancé dans l’urgence des négociations pour aboutir rapidement à un nouvel accord cadre. Ce Safe Harbor 2 devra répondre pleinement aux exigences de la CJUE, pour que le cadre résiste aux défis juridiques posés par les régulateurs en charge de la protection des données. Réunis au sein du groupe des CNIL européennes (G29), ces derniers attendent des autorités européennes et américaines une solution « satisfaisante » avant le 31 janvier 2016. Nul doute que Max Schrems n’est de toute façon pas disposé à leur laisser davantage de temps.

A lire aussi :

Safe Harbor : l’ultimatum des CNIL européennes

Fin du Safe Harbor : quel avenir pour les flux de données vers les États-Unis ? (tribune)