La plus haute juridiction de l'Union européenne a clairement indiqué aujourd'hui – une fois de plus – que les programmes de surveillance de masse du gouvernement américain sont incompatibles avec le droit à la vie privée des citoyens de l'UE. Le jugement a été rendu dans la dernière affaire impliquant le défenseur autrichien de la vie privée et lauréat du prix Pioneer EFF Max Schrems . Il a invalidé le «Bouclier de protection des données», l'accord sur la protection des données qui sécurisait le flux de données transatlantique, et restreignait la capacité des entreprises à transférer des données à l'aide d'accords individuels ( clauses contractuelles types ou CSC).
Malgré les nombreuses déclarations «nous sommes déçus» de la Commission européenne, des responsables du gouvernement américain et des entreprises , cela ne devrait pas surprendre, car il suit le raisonnement du tribunal dans l'affaire précédente de Schrems, en 2015 .
À l'époque, la Cour de justice de l'UE (CJUE) a noté que les citoyens européens n'avaient aucun recours réel en droit américain si leurs données étaient balayées dans les programmes de surveillance des gouvernements américains. Une telle violation de leurs droits fondamentaux à la vie privée signifiait que les entreprises américaines ne pouvaient pas fournir un «niveau adéquat de protection [des données]», comme requis par la législation de l'UE et promis par le régime d'autorégulation UE / États-Unis «Privacy Safe Harbor». En conséquence, le Safe Harbor a été jugé inadéquat et les transferts de données par des entreprises entre l'UE et les États-Unis ont été interdits.
Depuis cette décision initiale, les sociétés multinationales, le gouvernement américain et la Commission européenne ont cherché à combler l'écart géant entre les pratiques d'espionnage américaines et les valeurs fondamentales de l'UE. Le gouvernement américain a clairement indiqué qu'il n'avait pas l'intention de modifier ses pratiques de surveillance, ni de faire pression pour que des mesures législatives soient adoptées au Congrès. Toutes les parties ont plutôt convenu de se contenter de contourner les pratiques transatlantiques en matière de données, réinventant le précédent accord Safe Harbor, qui régissait faiblement le traitement des données personnelles des citoyens de l'UE par les entreprises, sous un nouveau nom: le bouclier de protection des données UE-États-Unis.
L'EFF, ainsi que le reste de la société civile des deux côtés de l'Atlantique, a souligné qu'il ne s'agissait que de mélanger des chaises sur le Titanic . La Cour a cité des programmes gouvernementaux comme PRISM et Upstream comme principale raison pour mettre fin aux flux de données entre l'Europe et les États-Unis, et non les pratiques (certes affligeantes) de confidentialité des entreprises elles-mêmes. Cela signifiait qu'il appartenait entièrement au gouvernement et au Congrès américain de décider si les entreprises technologiques américaines étaient autorisées à gérer les données personnelles européennes. Le message adressé au gouvernement américain est simple: corriger la surveillance de masse américaine ou saper l'une des principales industries des États-Unis.
Cinq ans après l'iceberg original de Schrems 1, Schrems 2 a poussé le Titanic complètement sous les vagues. Le nouveau jugement souligne explicitement les faiblesses du droit américain dans la protection des personnes non américaines contre la surveillance arbitraire, soulignant que:
L'article 702 de la FISA n'indique aucune limitation du pouvoir qu'il confère de mettre en œuvre des programmes de surveillance à des fins de renseignement étranger ou de l'existence de garanties pour les personnes non américaines potentiellement visées par ces programmes.
et
… ni l'article 702 de la FISA, ni l'OE 12333, lu conjointement avec la PPD ‑ 28, n'est corrélé aux garanties minimales résultant, en vertu du droit de l'Union, du principe de proportionnalité, de sorte que les programmes de surveillance fondés sur ces dispositions ne peut être considéré comme limité à ce qui est strictement nécessaire.
La CJUE ne pourrait pas être plus directe dans ses déclarations: mais on ne sait pas comment réagiront les différents acteurs qui pourraient résoudre ce problème. Les autorités de protection des données de l'UE vont-elles intensifier leurs activités d'application et invalider les CSC qui autorisent les flux de données vers les États-Unis pour ne pas avoir protégé les citoyens européens contre les programmes américains de surveillance de masse? Et si les entreprises américaines ne peuvent pas s'appuyer en toute confiance sur les CSC ou sur le bouclier de protection des données défunt, feront-elles plus de lobbying pour de véritables changements législatifs américains afin de protéger le droit à la vie privée des Européens aux États-Unis – ou tout simplement trouver un autre bouchon temporaire pour forcer une autre décision de la CJUE? Et la Commission européenne va-t-elle passer de la défense du statu quo et des pratiques actuelles des entreprises à une véritable action au nom de ses citoyens?
Quelle que soit la réaction initiale des régulateurs de l'UE, des entreprises et de la Commission, la vraie solution réside, comme elle l'a toujours fait, avec le Congrès américain. La décision d'aujourd'hui est un autre indicateur important que les pratiques de surveillance des renseignements étrangers par le gouvernement américain ont besoin d'une refonte massive. Le Congrès a commencé sans enthousiasme le processus d'amélioration de certaines parties de la FISA au début de cette année – un processus qui semble maintenant avoir été abandonné. Mais cette décision montre, encore une fois, que les États-Unis ont besoin d'une réforme beaucoup plus large et protectrice de la vie privée, et que l'inaction du Congrès nous rend tous moins sûrs, où que nous soyons.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/07/eu-court-again-rules-nsa-spying-makes-us-companies-inadequate-privacy le Thu, 16 Jul 2020 22:37:44 +0000.