Nos données personnelles, notamment médicales, nous échappent peu à peu.
Maximilian Schrems, jeune Autrichien, étudiant en droit, utilise Facebook depuis 2008. Ses données personnelles, comme celles de millions d’utilisateurs européens sont, en tout ou partie, transférées par Facebook Ireland vers des serveurs situés aux États-Unis. En 2014, M.Schrems dépose une plainte auprès de l’autorité irlandaise de contrôle et lui demande d’interdire ces transferts au motif que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte est rejetée par les juges irlandais au motif que l’accord de la Commission européenne avec les autorités américaines (« Safe Harbor », datant de 2000) assure un niveau adéquat de protection des données personnelles. Mais la Cour de justice de l’Union européenne (CJUE, 6 oct. 2015, Schrems I) invalide le raisonnement de la Commission: l’accès illimité des autorités américaines aux données européennes stockées aux États-Unis n’offre pas de garanties équivalentes à celles du droit européen.
Un nouvel accord est conclu (« Privacy Shield ») avec les Américains en juillet 2016. Mais M. Schrems récidive et la CJUE (16 juill. 2020, Schrems II) lui donne à nouveau raison. Ce nouvel accord ne respecte pas le Règlement général relatif à la protection des données (RGPD) : le pays où les données sont transférées n’assure pas au citoyen européen un niveau de protection adéquat de ses données personnelles. Cette décision concerne tout particulièrement les rendez-vous médicaux en ligne; le principal prestataire utilise des serveurs Amazon basés aux États-Unis.
En juillet 2023, la Commission européenne a conclu un nouvel accord avec les Américains (« Data Privacy Framework »). Le nouveau schéma ressemble beaucoup aux deux précédents. La protection contre l’accès des autorités publiques n’est pas équivalente à celle de l’Union européenne.
L’Europe privilégie la fluidité économique, moteur de la construction de l’Union. La protection des droits fondamentaux est venue progressivement occuper une place importante. Les deux objectifs ne sont pas antinomiques. Protéger les données personnelles, c’est aussi réserver aux développeurs et entrepreneurs européens l’exploitation de cet or numérique pour créer les applications et les algorithmes de demain, sous le contrôle des juridictions du Vieux Continent.
Cette voie paraît aujourd’hui abandonnée. Nos données personnelles, notamment médicales, nous échappent peu à peu. Le cloud européen reste une chimère et la CNIL a validé fin janvier dernier, même si elle dit le faire « provisoirement », l’héberge ment par la société américaine Microsoft de la plateforme nationale des données de santé (plus connue sous le terme « Health data Hub »). L’exploita tion de cet inestimable patrimoine national, récolté par les professionnels de santé, appartient désormais à celui qui a le droit d’en disposer…
Dans la campagne actuelle des élections européennes, on a l’impression que tout le monde a oublié ce sujet… Vivement Schrems III.