13. (d) Note 15:34 Date : Le 30 octobre 2015 Destinataires : Expéditeur : Objet : Présidents et agents administratifs Associations locales, fédérées et provinciales David Robinson, directeur général Maximillian Schrems c. Data Protection Commissioner, Affaire C-362/14 Le 6 octobre 2015, la Cour de justice de l Union européenne (CJUE) a rendu un arrêt dans l affaire opposant Maximillian Schrems au Data Protection Commissioner (commissaire à la protection des données) de l Irlande. La Cour a déclaré invalide la décision 2000/520 de la Commission européenne sur le caractère adéquat de la protection découlant de l application des principes de la sphère de sécurité aux États-Unis (en vertu de cette décision, des autorisations générales pouvaient être délivrées, sous le régime de la sphère de sécurité, pour le transfert de données de l Union européenne vers les États-Unis). La Cour a également disposé que la décision n établissait plus le cadre juridique pour de tels transferts. Cette décision est importante pour le personnel académique au Canada, dans un contexte où des universités et collèges ont confié la prestation d un ou de plusieurs de leurs services informatiques à des fournisseurs dans l environnement infonuagique. Comme il est indiqué dans la Note de synthèse de l ACPPU sur l externalisation (septembre 2015) 1, les centres de données dirigés par des entreprises basées aux États-Unis sont soumis à la surveillance de l Agence de sécurité nationale américaine, la NSA, et, par conséquent, les données sur le corps professoral qu ils détiennent le sont également. La Cour de justice de l Union européenne a invalidé une décision garante, croyait-on, de la protection des droits fondamentaux des utilisateurs de services comme Facebook, Microsoft et Google dans les pays membres de l Union européenne. En particulier, la Cour a constaté qu «une réglementation permettant aux autorités publiques d accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l article 7 de la Charte». 1 Voir le texte de la Note sur le site de l ACPPU, à l adresse http://bit.ly/1q8ocgp.
Page 2 / 6 Note 15:34 / Maximillian Schrems c. Bien que les tribunaux canadiens ne soient pas tenus par la loi d appliquer les principes définis par la Cour européenne, les membres du personnel académique au pays et les associations qui les représentent pourraient invoquer ces principes pour protéger leurs droits à la vie privée et à la liberté académique, et pour démontrer le sérieux de leurs préoccupations quant aux conséquences du stockage de données aux États-Unis. 1. Procédures Commissaire à la protection des données (Irlande) M. Schrems, un ressortissant autrichien, est un utilisateur de Facebook depuis 2008. En juin 2013, il a saisi le commissaire irlandais à la protection des données d une plainte par laquelle il demandait à celui-ci d interdire à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur aux États-Unis ne garantissaient pas une protection suffisante des données à caractère personnel conservées en territoire américain contre les activités de surveillance des autorités publiques. M. Schrems se référait à cet égard aux révélations faites par Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de l Agence de sécurité nationale (NSA). Considérant qu il n était pas tenu de procéder à une enquête sur les faits dénoncés par M. Schrems dans sa plainte, le commissaire a rejeté celle ci au motif qu elle était dépourvue de fondement. M. Schrems a été autorisé à faire appel de cette décision en présentant une requête en révision judiciaire à la High Court of Ireland (Haute Cour de justice de l Irlande). Haute Cour de justice de l Irlande La Haute Cour de justice de l Irlande a jugé que la surveillance de masse des données exercée par les autorités américaines, dévoilée publiquement par Edward Snowden, constituait une grave menace à la vie privée. D après elle : «[T]he Snowden revelations demonstrate a massive overreach on the part of the security authorities, with an almost studied indifference to the privacy interests of ordinary citizens. Their data protection rights have been seriously compromised by mass and largely unsupervised surveillance programmes.» (paragraphe 8 de la décision) La Haute Cour a décidé de surseoir à statuer et de poser à la CJUE les questions préjudicielles suivantes : (1) Le commissaire à la protection des données a-t-il compétence en matière de transfert de données? Est-il absolument lié par la constatation de la Commission européenne dans la décision 2000/520/CE? (2) Dans le cas contraire, le commissaire peut-il ou doit-il mener sa propre enquête en s instruisant de la manière dont les faits ont évolué depuis la première publication de la décision de la Commission européenne 2? 2 Voir le site de l administration des tribunaux de l Irlande (Courts Service) à l adresse http://bit.ly/1kie5g1 (en anglais seulement).
Page 3 / 6 Note 15:34 / Maximillian Schrems c. Cour de justice de l Union européenne Après examen des questions posées par la Haute Cour de justice de l Irlande, la CJUE a statué sur la question de la compétence et sur la question de fond. Eu égard à la question de la compétence, la Cour a constaté que la décision 2000/520/CE ne faisait pas obstacle à ce que le commissaire à la protection des données examine la demande d une personne portant sur la protection de ses droits et libertés dans le traitement de données à caractère personnel la concernant par suite de leur transfert d un État membre vers un pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans le pays tiers n assurent pas un niveau de protection adéquat. Quant à la question de fond, la Cour a examiné la Charte des droits fondamentaux de l Union européenne, la directive 95/46/CE relative à la protection des données et la décision 2000/520/CE. L article 7 (Respect de la vie privée et familiale) de la Charte des droits fondamentaux de l Union européenne prévoit que : «Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.» L article 8 (Protection des données à caractère personnel) de la Charte stipule ce qui suit : «1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d une autorité indépendante.» La directive 95/46/CE relative à la protection des données, qui constitue le cadre législatif détaillé de l Union européenne en matière de protection de la vie privée, est entrée en vigueur le 25 octobre 1998. Elle interdit le transfert de données à caractère personnel vers des pays hors de l Union européenne qui n assurent pas le niveau «adéquat» de la protection de la vie privée déterminé par l Union européenne (UE). Le département du Commerce des États-Unis a voulu mettre à la disposition des organisations américaines un mécanisme simplifié de conformité à la directive, de sorte qu en consultation avec la Commission européenne, il a établi le soi-disant «régime de la sphère de sécurité». Ce régime est en fait un programme par lequel les entreprises basées en sol américain peuvent, si elles acceptent d adhérer à certains principes relatifs à la protection de la vie privée, solliciter une certification et être réputées assurer un niveau «adéquat» de protection de la vie privée. Dans la décision 2000/520/CE, la Commission européenne a conclu qu aux fins de la directive 95/46/CE, les principes de la sphère de sécurité relatifs à la protection de la vie privée appliqués conformément aux orientations fournies par la foire aux questions publiée par le département du Commerce des États-Unis le 21 juillet 2000 3 assurent un niveau adéquat de protection des données à caractère personnel transférées de l UE vers des organisations basées aux États-Unis. Dans la décision Schrems, la CJUE a statué que la Commission européenne n avait pas déclaré, dans la décision 2000/520/CE, que les États-Unis «assurent» effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements 3 Voir le site Export.gov, à l adresse http://1.usa.gov/1fijqhm.
Page 4 / 6 Note 15:34 / Maximillian Schrems c. internationaux. La Cour a jugé que cette décision n était pas conforme aux exigences énoncées au paragraphe 25(6) la directive 95/46/CE, lu à la lumière des protections de la vie privée et des données à caractère personnel conférées par la Charte des droits fondamentaux de l Union européenne, et qu en conséquence, elle était invalide 4. Dans la foulée de cette décision, la Haute Cour de justice de l Irlande a décidé, le 20 octobre 2015, que l organisme national responsable de la protection des données devrait examiner s il y a lieu de suspendre le transfert des données des utilisateurs de Facebook de l Europe vers les États-Unis. L actuelle commissaire irlandaise à la protection des données est maintenant tenue de mener une enquête sur la plainte. 2. Le régime de la sphère de sécurité peut-il être appliqué au Canada? Le régime de la sphère de sécurité a été établi dans le but de satisfaire aux normes de l Union européenne en matière de la protection de la vie privée, et de permettre le transfert de données de pays membres de l Union européenne vers les États-Unis. Cependant, au sujet de la protection des données à caractère personnel de leurs utilisateurs, les principaux fournisseurs de services tiers au Canada font aussi mention de leur certification en vertu de ce régime dans leurs contrats avec les universités canadiennes ou dans leurs politiques 5. En dehors de l Union européenne, les fournisseurs semblent faire état de leur conformité aux principes de la sphère de sécurité pour donner une «image rassurante» à leurs services dans leurs campagnes de promotion. 3. Conséquences de l arrêt sur les activités commerciales entre l UE et les États-Unis Bien que les entreprises Facebook, Microsoft et Google aient toutes déclaré que l arrêt ne modifiait en rien leurs activités, les autorités publiques et les milieux des affaires se sont montrés vivement préoccupés par ses conséquences possibles sur le commerce entre l Europe et les États-Unis 6. 4. Impact de l arrêt sur le personnel académique Les principaux fournisseurs de services informatiques externes aux universités et collèges du Canada, Microsoft et Google, exigent des établissements et des utilisateurs finaux qu ils acceptent des contrats ou des conditions d utilisation les autorisant à transférer, stocker et traiter les données des utilisateurs aux États-Unis ou dans tout autre pays où sont situées leurs installations ou celles de leurs mandataires. Les documents des deux fournisseurs énoncent clairement que l utilisateur de leurs services consent de ce fait au transfert, traitement et stockage de ses données. 4 Voir le site de la Cour de justice de l Union européenne, à l adresse http://bit.ly/1fuc1iu. 5 Voir les Règles de confidentialité et conditions d utilisation, Chartes d autorégulation, de Google, à l adresse http://bit.ly/1q3ckdf. 6 Parmi les principales réactions, voir : Groupe de travail G29, http://bit.ly/1g9gd9u. Data Protection Commissioner (Irlande), http://bit.ly/1pt558x. Microsoft, http://bit.ly/1kyylgu. DIGITALEUROPE, http://bit.ly/1qwbuu4.
Page 5 / 6 Note 15:34 / Maximillian Schrems c. De quelles protections bénéficient les données du personnel académique qui sont stockées, transférées ou traitées aux États-Unis par le fournisseur tiers? Dans la plupart des rapports, présentations et foires aux questions (FAQ) publiés par les fournisseurs tiers et les établissements d enseignement postsecondaire ayant externalisé une partie de leurs services, on peut lire que les tribunaux canadiens ont déjà été saisis de cette question et ont statué que les données transférées aux États-Unis jouissent d une protection comparable. Toutefois, la jurisprudence en la matière se limite à quelques décisions seulement, et n a jamais abordé la question des droits fondamentaux. Au vu de l importance de la Cour de justice de l Union européenne et des nombreuses réactions que son arrêt a suscitées, on pourrait avancer que les tribunaux, arbitres et établissements canadiens devraient tenir compte de son argumentation sur le niveau adéquat de protection des droits et libertés fondamentaux. Dans sa décision rendue le 26 août 2015 relativement au différend entre le NSGEU et l Université Dalhousie concernant l externalisation de services informatiques par l Université, l arbitre a clairement admis que les données étaient stockées aux États-Unis et pouvaient donc être interceptées dans le cadre des programmes de surveillance des autorités américaines, comme PRISM. Le syndicat a soutenu que la [traduction] «protection de la vie privée est considérée comme une valeur fondamentale et est reconnue au Canada comme étant digne d être protégée par la Constitution» (p. 48). Cependant, l arbitre a rejeté le grief, concluant que [traduction] «le risque de divulgation est indissociable du stockage des données aux Etats-Unis» (p. 91). Les membres du personnel académique et d autres catégories d employés des universités et des collèges doivent de plus en plus utiliser des services qui recueillent et stockent des données les concernant aux États-Unis ou dans un autre pays tiers. La menace qui pèse sur la confidentialité des données sur le personnel académique (contenu et métadonnées) constitue une atteinte aux principes de la liberté académique. Il peut être utile de s inspirer de l argumentation de la Cour de justice dans l affaire Schrems pour étayer les affirmations sur l impact de la surveillance sur la vie privée des utilisateurs. 5. Conclusion : collecte de données et externalisation dans le milieu académique Réagissant à l arrêt de la Cour de justice, Microsoft rappelle à ses utilisateurs qu ils «consentent» au transfert des données les concernant lorsqu ils acceptent les conditions d utilisation du service : [traduction] En outre, nous ne pensons pas que l arrêt rendu aujourd hui a des conséquences importantes sur nos services aux consommateurs. Nos conditions d utilisation indiquent clairement qu aux fins de la prestation de ces services, nous transférons des données entre les utilisateurs. Cela se produit, par exemple, quand un utilisateur envoie un courriel, ou un autre contenu en ligne, à un autre utilisateur. Nos centres de données sont établis dans de multiples pays et régions, et plusieurs se trouvent notamment en Europe. La directive 95/46/CE reconnaît des dérogations et prévoit qu un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers n assurant pas un niveau de protection adéquat peut être effectué, à condition que l utilisateur ait indubitablement donné son consentement au transfert envisagé.
Page 6 / 6 Note 15:34 / Maximillian Schrems c. Microsoft affirme que l arrêt de la Cour de justice n a aucune incidence sur la manière dont les données de ses utilisateurs sont transférées, stockées et traitées parce que ceux-ci ont donné leur accord à ces opérations en acceptant les conditions d utilisation. Cependant, dans quelle mesure l «accord» d un utilisateur universitaire ou collégial qui doit se servir du compte de l employeur pour s acquitter de ses fonctions est-il valide? La quantité et la nature des données recueillies dans des applications utilisées dans les universités et les collèges sont un autre point important. La surveillance de masse rejetée par la Cour de justice est exercée à l endroit des données transférées vers les États-Unis, mais pourrait aussi l être à l endroit des données recueillies pour des utilisations secondaires (c est-à-dire qui ne sont pas requises pour la prestation du service). En autorisant par contrat les fournisseurs de services à explorer les données contenues dans les comptes des utilisateurs, les universités et les collèges ouvrent la porte à l interception d un plus grand volume de données dans le cadre d opérations de surveillance massive. Le débat se poursuit quant aux retombées de l arrêt Schrems. Ce dernier confirme toutefois l analyse de l ACPPU selon laquelle le transfert des données des utilisateurs vers les États- Unis viole les droits à la vie privée et à la liberté académique.