Au moment des révélations du scandale PRISM par Edward Snowden, les autorités américaines s'étaient justifiées auprès de leurs concitoyens en rappelant que ces derniers n'étaient pas concernés. Si l'argument pouvait quelque peu rassurer outre-Atlantique, reste qu'il avait suscité nombre d'interrogations.
La Commission européenne avait été saisie par des eurodéputés pour que celle-ci demande des comptes aux autorités en charge de ces questions. Cette dernière s'était par la suite dit « préoccupée » par le protocole de surveillance instauré par les États-Unis après les attentats du 11 septembre 2001. Lors du sommet du G8, la semaine dernière à Belfast en Irlande, Angela Merkel, la chancelière allemande, avait de son côté demandé des comptes à Barack Obama.
Désormais, l'affaire PRISM entame un volet judiciaire. L'association « Europe vs Facebook », fondée par le désormais célèbre étudiant autrichien Max Schrems, qui avait attaqué Facebook pour ses pratiques en matière protection des données. Il a ainsi attaqué en justice cinq des neuf partenaires du programme, à savoir Facebook (.pdf], Apple (.pdf), Skype (.pdf), Microsoft (.pdf) et Yahoo (.pdf). Des actions contre Google et YouTube devraient suivre. Les procédures ont pour le moment été lancées en Allemagne, en Irlande et au Luxembourg, sièges européens des sociétés mises en cause.
Une pratique « tout à fait illégale »
Concrètement, l'association demande des clarifications de la part des entreprises en cause concernant leurs pratiques. Elle espère que ces plaintes mettront quelque peu la pression sur les firmes, afin de les pousser à dévoiler l'utilisation concrète des données des internautes européens. Rappelons que dans un premier temps, les partenaires du programme PRISM avaient nié en bloc avoir adhéré à un tel projet. Avant de publier l'un après l'autre le nombre de requêtes formulées par les autorités américaines. Microsoft vient d'ailleurs de s'allier à la requête initiée par Google auprès de la FISA Court, pour obtenir le droit de communiquer davantage de détails, dans un document publié par le Wall Street Journal.
Le lancement de plaintes au sein de l'Union européenne posera immanquablement la question de l'assujettissement des sociétés en question à la loi nationale ou à la législation européenne. Ces dernières disposent pour la plupart de filiales en Europe. Ce qui, pour Max Schrems, suffirait à établir leur soumission au droit national ou européen. « Après avoir consulté des experts en la matière, nous pouvons à présent dire que la pratique s'avère être tout à fait illégale, selon les lois européennes de protection des données », peut-on lire dans le communiqué.
Max Schrems fait également référence à l'antécédent « SWIFT », ce programme de collaboration entre l'Europe et les États-Unis portant sur l'échange de données financières, afin de lutter contre le terrorisme. Un programme qui selon Alex Türk, à l'époque président de la CNIL, avait conduit à un véritable espionnage économique américain.
Et de préciser que « si une filiale européenne transfère des données d'utilisateurs à l'entité mère aux États-Unis, la pratique est alors considérée comme un export de données personnelles. Ce dernier, sur le fondement de la législation européenne, devrait alors n'être autorisé que si la filiale peut justifier « d'un degré de protection adéquat » dans le pays étranger ». Ce qui, pour l'association, est inenvisageable dès l'instant où ces données seraient, in fine, transmises aux services secrets américains.