Dans un article paru le 17 juin 2014, le journal Le Quotidien évoque la décision de l’étudiant en droit autrichien, Max Schrems, d’attaquer la Commission nationale pour la protection des données (CNPD) devant le tribunal administratif du Luxembourg.

Le litige fait suite à l’affaire de surveillance de masse révélée par les renseignements fournis par l’ingénieur américain et lanceur d’alerte Edward Snowden. Le 6 juin 2013, le Washington Post et le Guardian révélaient que les services de renseignement américains récoltaient les relevés téléphoniques aux États-Unis et auraient accès aux données des clients des sociétés informatiques Microsoft, Google, Yahoo!, Facebook, YouTube, Skype, AOL et Apple via un programme secret de l'Agence nationale de sécurité (NSA) baptisé PRISM.

Alors qu’il était déjà impliqué dans une action en justice contre Facebook, l’étudiant en droit autrichien, Max Schrems, a décidé de se plaindre contre les agissements de Microsoft et Skype au Luxembourg, Yahoo en Allemagne et de nouveau Facebook en Irlande, sur base des allégations des medias.

D’ailleurs, l’ONG dont il est le fondateur avec d’autres étudiants autrichiens et le porte-parole, Europe vs Facebook, attend le 18 juin 2014, la décision de la Haute Cour irlandaise concernant le refus du Commissaire irlandais pour la protection des données de mener une enquête sur le transfert de données de Facebook Irlande vers les USA puis la NSA. Comme il l’a rappelé à la veille de la décision, dans ce cas-là, Europe vs Facebook défend la même position que la Commission européenne, le Parlement européen, mais aussi les commissions européenne, allemande et luxembourgeoise  pour la protection des données.

La CNPD avait en effet jugé qu’il était justifié de mener une enquête suite aux révélations PRISM. Mais c’est le résultat de ses trois mois d’investigations qui a mené au litige avec Max Schrems et Europe vs Facebook.

Dans son recours auprès de la CNPD, l’étudiant en droit autrichien voulait savoir si son droit fondamental à la protection de ses données avait été respecté par Skype communications et par Microsoft, dont les sièges européens se situent à Luxembourg, la première étant une filiale de la seconde. Par ailleurs, il voulait connaître l’avis de la CNPD sur la légalité du traité accompagnant les transferts de données de sociétés commerciales entre l’UE par des garanties de protection des données, dit traité Safe Harbor, qui a fait l’objet d’une "décision" de la Commission européenne du 26 juillet 2000 appliquant l’accord dit Safe Harbor, dans la mesure où il aurait permis un accès de masse aux données de clients de sociétés commerciales américaines.

Dans un communiqué de presse daté du 18 novembre 2013, la CNPD disait que "l’enquête conduite depuis juillet 2013 et l’analyse détaillée qui fut faite n’a pas mis en lumière d’éléments selon lesquels les deux sociétés basées au Luxembourg ont accordé à la NSA un accès de masse aux données de leurs clients". D’autre part, les transferts de certaines données personnelles à des sociétés privées, tels que mentionnés dans les déclarations de confidentialité des deux compagnies, sont opérées en conformité avec la décision de la Commission européenne du 26 juillet 2000 appliquant l’accord dit Safe Harbor, avançait-elle.

Dans sa réponse détaillée au plaignant datée du 15 novembre 2013, la CNPD précisait que Microsoft est impliqué dans les activités de Skype, opérateur qu’il a racheté, de telle sorte qu’il est possible à Skype de transférer ses données vers Microsoft. Les déclarations de confidentialité, acceptées par le client, mentionnent pour les deux sociétés la possibilité de transfert dans un pays tiers. Et le principe qui prévaut est que si les données sont transférées dans un pays tiers, il y ait une protection des données adéquate. Et la participation de Microsoft à Safe Harbor apporterait la garantie d’une telle protection.

Microsoft et Skype Communications ont réfuté avoir donné à la NSA un accès en masse aux données de leurs clients. Ni Skype, ni Microsoft n’avaient connaissance de PRISM avant qu’il n’en soit parlé dans les médias, ont-elles dit. Skype Communications et Microsoft ont déclaré répondre favorablement aux demandes légales et par écrit du gouvernement aux fins de transmission de données, dans les cas prévus par Safe Harbor, de poursuite pénale et de sécurité nationale.

Par ailleurs, la CNPD se déclarait incompétente pour enquêter sur le traitement réservé aux données du plaignant éventuellement transférées aux Etats-Unis. Mais, d’après ce que disent savoir Skype et Microsoft, les différents comptes du plaignant n’ont fait "jamais été l’objet ou la cible d’une demande étatique sous quelque juridiction que ce soit ni n’ont été soumis à une surveillance spéciale", rapportait la CNPD.

De nouveaux éléments pour justifier le recours 

Après avoir reçu ces explications de la CNPD, Europe vs Facebook avait, deux jours plus tard, demandé des clarifications par courrier. "Que les données ne soient pas directement transférées du Luxembourg à la NSA était clair. Mais il n’est pas clair, si l’autorité croit que PRISM n’existe pas et tient simplement les communiqués de presse de Microsoft pour plus crédibles que les révélations de Snowden", jugeait l’ONG.

Selon l’ONG, la CNPD aurait par son courrier conclu que le transfert de données vers les États-Unis ne violait pas la réglementation sur le Safe Harbor sans pour autant remettre en cause l’existence de PRISM. Elle soulignait que la CNPD et la Commission européenne n’étaient pas sur la même longueur d’ondes à ce sujet. "Safe Harbor ne permet le transfert de données qu’en cas de poursuite pénale ou pour des raisons de sécurité nationale, mais la NSA fait beaucoup plus que cela. D’ailleurs, la Commission européenne a dit que PRISM n’est pas couvert. Les autorités à Luxembourg et à Bruxelles doivent désormais s'entendre sur l'inteprétation de la décision", a dit en effet Europe vs Facebook dans un communiqué.

L’activité de la NSA ne comprend "que dans une mesure limitée la sécurité nationale et la poursuite des délits, ses demandes d’accès aux données peuvent toucher à ses taches principales que sont l’espionnage industriel ou l’espionnage politique", lit-on encore dans le courrier de l’ONG.

Cette dernière faisait remarquer que si PRISM était compris dans Safe Harbor, cet accord serait illégal, car contraire à la directive de 1995 et à la convention européenne des droits de l’homme. Et elle suggérait que le CNPD pourrait provoquer une analyse par la CJUE de Safe Harbor, si celui-ci a permis un accès en masse.

Dans une lettre de clarification datée du 29 novembre 2013, la CNPD expliquait d’abord que "enquêter sur les agissements de services de renseignements étrangers ne relève pas de notre compétence, de telle sorte que nous ne pouvons ni contester ni confirmer l’existence du programme PRISM et de systèmes similaires de surveillance de masse de l’internet aux USA". La CNPD rappelait ensuite que sa compétence se limite à Skype et Microsoft dans cette affaire, pour justifier de ne pas répondre en son nom à la question de savoir si le programme PRISM est couvert par Safe Harbor.

S’appuyant sur les déclarations du Chargé européen de la protection des données, Peter Hustinx, lors de son audition par le Parlement européen le 7 octobre 2013, elle déclarait néanmoins que "si Safe Harbor dispose d’une clause permettant l’accès aux données transférées pour le maintien de la sécurité nationale, le principe de proportionnalité doit être garanti à chaque fois" mais aussi qu’elle n’est "en aucun cas d’avis, que la décision relative à Safe Harbor de la Commission européenne légitimise un accès de masse". La CNPD signalait dans ce contexte que n’étant pas un tribunal, elle ne peut pas poser de question préjudicielle à ce sujet.

La CNPD renvoyait également aux mesures exposées deux jours plus tôt par la Commission européenne, afin de restaurer la confiance des citoyens européens envers le transfert de données, comprenant treize recommandations pour un Safe Harbor plus efficace. Pour la CNPD, le dossier était clos sauf si de nouveaux éléments survenaient.

Dans le recours administratif déposé le 14 mars 2014, est mis en avant le fait que les révélations de la presse internationale à la suite des déclarations d'Edward Snowden ont été suffisamment confirmées par la suite dans le cadre de différentes commissions d'enquête internationales, pour que soit justifiée de rouvrir l’enquête, ainsi que le rapporte Le Quotidien. Par ailleurs, selon le journal luxembourgeois, un document du groupe de travail États-Unis/Union européenne a confirmé l'existence du système Prism.

L’avocat de Max Schrems, Me Schonckert, a par ailleurs expliqué au journal qu’à leurs yeux, les États-Unis n’offrent pas de recours effectif pour le citoyen européen qui voudrait se plaindre du traitement de ses données : "Si je vais maintenant aux États-Unis pour déposer une plainte, la voie vers la justice nous coûtera des millions, donc, ce n'est pas un recours effectif. Deuxièmement, on ne peut pas y invoquer les droits de l'Homme, car les États-Unis ne connaissent en effet pas le même régime légal en matière de protection des droits de l'Homme. Leur système de protection des droits du citoyen est seulement applicable aux personnes de nationalité américaine ou séjournant aux États-Unis", avance l’avocat dans l’article du Quotidien.

Le Quotidien explique également que, dans un courrier de relance adressé le 8 mai à la CNPD, Me Schonckert a désigné comme autre élément désormais dans la balance, l'arrêt de la Cour de justice de l'Union européenne rendu le 8 avril 2014, selon lequel "la collecte de données est contraire aux droits fondamentaux. Qu'ils exploitent les données ou non", ainsi que le rapporte l’avocat. "Il s'agit ici d'un élément nouveau de droit fondamental permettant, voire obligeant la CNPD à revoir son analyse initiale", considère l’avocat.

Dans son recours, Max Schrems demande à la CNPD de prendre toutes les mesures nécessaires pour empêcher une transmission et un traitement illégaux de ses données personnelles de son compte Skype Europe vers les États-Unis.

Interrogé à son tour par Le Quotidien, le président de la CNPD, Gérard Lommel, a fait savoir que "nous n'avons pas refusé de faire une enquête". "Nous avons fait notre enquête et fait part de nos résultats au plaignant. Où on ne trouve rien, on ne trouve rien", poursuit-il. "Aucun indice n'a été trouvé. Voilà pourquoi nous ne comprenons pas vraiment où ce recours doit aller. Il y a dans tous les cas un malentendu si le plaignant est d'avis que nous avons une compétence pour contrôler ce que la NSA a fait quelque part dans le monde ou aux États-Unis. Notre mission est de vérifier que la protection des données est respectée sur le territoire luxembourgeois et par les sociétés qui y ont leur siège", a conclu Gérard Lommel.