par Sylvie Peyrou, CDRE
Les références imagées se pressent à l’esprit tant les conclusions de l’Avocat général Yves Bot s’avèrent riches – et lourdes de conséquences si la Cour de Justice s’avise de les suivre – dans cette affaire (C-362/14), où les mots « Facebook », « Prism », « NSA », protection des données, droit fondamental, qui émaillent le texte révèlent l’importance du contexte qui le sous-tend.
L’étudiant autrichien à l’origine du contentieux, Max Schrems, s’est plaint auprès de l’autorité irlandaise de protection des données de ce que ses données personnelles fournies à Facebook soient transférées, à partir de la filiale irlandaise de Facebook, sur des serveurs situés sur le territoire des Etats-Unis. Il estime en effet, eu égard aux révélations faites en 2013 par Edward Snowden dans le cadre de l’affaire « Prism », relative aux activités des services de renseignement des Etats-Unis (la NSA en particulier), que tant le droit que la pratique des Etats-Unis n’offrent aucune protection contre la surveillance par l’Etat américain des données transférées vers ce pays. Sa plainte toutefois a été rejetée au motif que la Commission européenne, par une décision du 26 juillet 2000 (2000/520/CE), a estimé que, dans le cadre du régime dit de la « sphère de sécurité (« Safe Harbor »), les Etats-Unis assurent un niveau adéquat de protection aux données personnelles transférées. La High Court of Ireland (Haute Cour de Justice irlandaise), saisie de l’affaire, a alors posé à la CJUE les questions de savoir si la décision « d’adéquation » de la Commission empêche nécessairement et obligatoirement une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat, et éventuellement d’ordonner la suspension du transfert des données contestées.
Dans ses conclusions du 23 septembre, jouissant déjà d’un grand retentissement, l’Avocat général estime dans un premier temps que l’existence d’une décision de la Commission, constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées, ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la directive 95/46/CE sur le traitement des données à caractère personnel. Et surtout, dans un second temps, et alors même que la question n’a pas été posée à la Cour, il considère que ladite décision de la Commission est invalide.
Ces conclusions aux raisonnements très logiques qui s’empilent comme les compartiments d’une même fusée, fourmillent de questions de principes auxquelles l’Avocat général apporte des réponses de principe, en convoquant tout le ban et l’arrière-ban des grandes jurisprudences de la Cour de ces dernières années : Kadi, N.S., Google Spain, Digital Rights Ireland…avec un point focal central : la protection des droits fondamentaux. Quel que soit l’angle d’attaque, le dossier semble donner raison à l’étudiant autrichien, car l’Avocat général constate clairement dans un premier temps que la décision d’adéquation ne lie pas les autorités nationales de contrôle en matière de protection des données, et – dans un contrôle à double détente – verrouille ensuite le dossier en estimant que, de toute façon, la décision d’adéquation de la Commission est invalide. Ces conclusions, si elles sont suivies, constituent une véritable bombe à retardement pour la matière.
I) Le caractère non contraignant de la décision « d’adéquation » de la Commission pour les autorités nationales de contrôle
Les questions soulevées dans cette affaire nécessitent d’analyser le cadre juridique existant s’agissant du transfert de données à caractère personnel vers des pays tiers à l’Union européenne. Celui-ci est fourni par la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, texte fondamental en la matière pour le volet « marché intérieur » de l’UE. C’est en fait l’articulation entre diverses dispositions de ce texte que l’Avocat général est amené à mettre en lumière, occasion pour lui de réaffirmer la pleine indépendance des autorités nationales de contrôle.
1. La question de l’articulation entre diverses dispositions de la directive 95/46/CE
La directive, qui consacre son chapitre IV aux règles relatives au transfert de données à caractère personnel vers les pays tiers, précise en son article 25 § 1 que le transfert de telles données vers un pays tiers afin d’y faire l’objet d’un traitement, ne peut avoir lieu que si le pays tiers en question assure un niveau de protection adéquat de ces données. Il ressort ensuite du § 6 du même article qu’il appartient à la Commission de constater qu’un pays tiers, en raison de sa législation interne ou de ses engagements internationaux, assure un niveau de protection adéquat aux données personnelles. Cette constatation permet dès lors le transfert des données vers le pays tiers en question.
C’est sur cette base, et celle de l’accord « Safe Harbor » conclu entre les Etats-Unis et l’UE, que la Commission a adopté la décision 2000/520, estimant que les principes de la « sphère de sécurité » assurent un niveau de protection adéquat pour les données à caractère personnel transférées depuis l’UE vers les entreprises américaines. Le Safe Harbor est un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne. Le respect des principes posés par le Safe Harbor repose sur divers mécanismes, mêlant l’arbitrage privé et le contrôle par les pouvoirs publics (Commission fédérale du commerce : Federal Trade Commission, FTC).
Sachant que les données personnelles des abonnés de Facebook sont traitées par Facebook Ireland, filiale de Facebook Inc., société mère sise aux Etats-Unis, et sont transférées sur des serveurs de Facebook USA, situés sur le territoire américain, pour y être conservées, M. Schrems, ressortissant autrichien abonné à Facebook, a déposé plainte auprès du Commissaire irlandais à la protection des données. Compte tenu des révélations d’Edward Snowden sur le programme Prism, qui aurait permis à la NSA d’avoir accès aux données de masse stockées sur les serveurs américains, possédés par les grandes sociétés de l’Internet (Facebook, Google, Youtube etc.), M. Schrems estime en effet que ni le droit ni les pratiques des Etats-Unis n’offrent une protection réelle des données conservées sur le territoire américain contre la surveillance de l’Etat.
Sa plainte a toutefois été rejetée par le Commissaire irlandais à la protection des données, faute de fondement juridique selon lui, dans la mesure où la Commission a constaté dans sa décision 2000/520 précitée que les Etats-Unis assuraient un niveau de protection adéquat aux données personnelles transférées. Un recours a alors été introduit par M. Schrems devant la Haute Cour de justice irlandaise, qui a estimé pour sa part qu’au regard du droit interne (exigence constitutionnelle du respect de la vie privée notamment) « l’accès massif et indifférencié à des données à caractère personnel ne répondrait nullement à l’exigence de proportionnalité et devrait donc être considéré comme étant contraire à la Constitution » (§ 37 des conclusions). La Haute Cour, confrontée toutefois ici à la mise en œuvre du droit de l’Union, s’est alors demandé si le Commissaire à la protection des données était effectivement lié par la décision de la Commission constatant le niveau adéquat de protection des données aux Etats-Unis, autorisant ainsi leur transfert. Ce qui interroge la Haute Cour irlandaise est que la Commission ait jugé adéquat le niveau de protection pour les données transférées aux Etats-Unis, alors même que les révélations d’Edward Snowden ont mis au jour un espionnage de masse des données en provenance notamment de l’UE. C’est ici clairement la question de la compatibilité de cette décision de la Commission avec les dispositions des articles 7 et 8 de la Charte des droits fondamentaux de l’UE que se pose la Cour irlandaise. Elle interroge alors la CJUE sur la marge de manœuvre dont disposent les autorités nationales de contrôle en matière de protection des données, face à une plainte qui argue d’un niveau de protection non adéquat, alors même que la décision de la Commission va dans le sens contraire.
La question est donc ici en réalité relative à l’articulation des prérogatives des autorités nationales de contrôle, définies à l’article 28 de la directive qui les instituent en tant qu’organes indépendants, avec celles de la Commission, dont l’article 25 § 6 prévoit le pouvoir d’adoption de la décision relative au niveau adéquat de protection. Une telle question ne peut au demeurant être résolue sans se référer aux désormais incontournables articles 7 et 8 de la Charte des droits fondamentaux de l’UE, relatifs respectivement à la protection de la vie privée et à celle des données à caractère personnel.
2. La réaffirmation de l’indépendance des autorités nationales de contrôle
La question envisagée par l’Avocat général est somme toute simple : la décision de la Commission constatant le niveau adéquat de protection lie-t-elle de manière absolue l’autorité nationale de protection des données ?
Un élément crucial de l’analyse de l’Avocat général est ici celui de l’indépendance des autorités de contrôle nationale. Cette indépendance est en effet non seulement prévue par la directive elle-même, mais également aujourd’hui par l’article 8 § 3 de la Charte des droits fondamentaux de l’Union, ainsi que par l’article 16 § 2 TFUE. La Cour de Justice de son côté ne manque pas de marteler depuis des années le caractère primordial de ce principe d’indépendance, de l’arrêt Commission c/ Allemagne (C-518/07), à l’arrêt Commission c/ Hongrie (C-288/12), en passant par l’arrêt Commission c/ Autriche (C- 614/10). La position de l’Avocat général n’est donc pas surprenante ici, et nul doute qu’il sera suivi par la Cour pour réaffirmer ce principe, désormais bien ancré dans le droit primaire.
Cette indépendance, « constitutionnellement » garantie, des autorités nationales de contrôle, ainsi que l’importance de leurs missions, posée au même rang, justifient dès lors sans grande difficulté la constatation de l’Avocat général selon laquelle « si les autorités nationales de contrôle étaient liées de manière absolue par les décisions adoptées par la Commission, cela limiterait inévitablement leur totale indépendance » (§ 73).
L’Avocat général nous explique également de façon tout à fait convaincante que la compétence de la Commission ici est certes importante mais pas exclusive, dans la mesure où la directive elle-même prévoie la compétence des autorités nationales de contrôle afin de veiller à l’application des dispositions de la directive, telles que mises en œuvre par les Etats membres. Il appartient ainsi notamment aux autorités nationales de contrôle de veiller à ce que le transfert de données vers un pays tiers n’ait lieu que si ce dernier leur assure un niveau de protection adéquat. Les dispositions des articles 28 et 25 §§ 1 et 6 ne sont donc pas exclusives les unes des autres : pour l’Avocat général, l’article 25 § 1 est un domaine de compétence partagée.
Partant, une décision d’adéquation adoptée par la Commission ne prive pas les autorités nationales de contrôle de leurs pouvoirs d’investigation, non seulement eu égard à leur indépendance (dont le caractère fondamental a été rappelé ci-dessus), mais aussi eu égard à l’objectif de la directive 95/46, qui est d’assurer un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques. L’effet utile de la directive, appelé à la rescousse de la nécessité du respect des droits fondamentaux garantis par la Charte, finit ainsi de verrouiller l’argumentation de l’Avocat général en faveur du caractère non contraignant de la décision d’adéquation de la Commission vis-à-vis des autorités nationales de contrôle. On notera au passage la référence importante et subtile que fait l’Avocat général à l’arrêt N.S. (C-411/10 et C-493/10), estimant que « l’interprétation du droit dérivé de l’Union qui reposerait sur une présomption irréfragable que les droits fondamentaux seront respectés [ici par les Etats-Unis, sur la base de la constatation de la Commission dans sa décision d’adéquation] doit être considérée comme incompatible avec l’obligation des Etats membres d’interpréter et d’appliquer le droit dérivé de l’Union d’une manière conforme aux droits fondamentaux » (§ 104). On ne saurait être plus explicite et directif : non seulement les autorités nationales de contrôle conservent toute marge de manœuvre, malgré la décision de la Commission, mais bien plus, elles se doivent de veiller à la sauvegarde des droits fondamentaux, la présomption de protection étant simplement réfragable, et ici sont plus particulièrement visés les droits protégés par les articles 7 et 8 de la Charte.
Au total, l’Avocat général interprète donc les dispositions de la directive 95/46 (ses articles 25 § 6 et 28 évoqués) à la lumière des articles 7 et 8 de la Charte, en ce sens que l’existence d’une décision d’adéquation de la Commission n’a pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau adéquat de protection aux données à caractère personnel transférées, et ainsi, le cas échéant, de suspendre le transfert de ces données. Dont acte. Il paraît tout à fait probable que la Cour suive son Avocat général sur ce point.
Mais le sujet n’est pas épuisé pour autant, car l’Avocat général, envisageant le problème sous toutes ses facettes, même celles qui ne ressortent pas des questions posées par la juridiction de renvoi, se penche ensuite sur la question de la validité de la décision d’adéquation de la Commission. Il referme ainsi soigneusement toutes les portes qui pourraient laisser une échappatoire au transfert des données vers les Etats-Unis dans le contexte de l’après affaire Prism. S’attendait-on à des conclusions aussi audacieuses ?…
II) L’invalidité de la décision d’adéquation de la Commission
Audacieuse, la démarche de l’Avocat général l’est, incontestablement. Il opère en effet spontanément une requalification des questions préjudicielles d’interprétation dont la Cour est saisie, l’amenant à examiner la question de la validité de la décision d’adéquation de la Commission. Son appréciation de la validité de celle-ci s’articule ensuite sur une analyse plus classique, qui le conduit à la conclusion de l’invalidité.
1. La requalification de la question préjudicielle
Sans doute ne faut-il pas perdre de vue une constatation de bon sens, à savoir que tout l’intérêt de reconnaître une marge de manœuvre aux autorités nationales de contrôle, alors même que la Commission a pris une décision d’adéquation rendant possible le transfert des données vers les Etats-Unis, est précisément de leur laisser la latitude de constater que les Etats-Unis, malgré les principes du Safe Harbor, n’assurent pas un niveau de protection adéquat. L’intention de M. Schrems était précisément de démontrer au demeurant que la surveillance de masse des données révélée par E. Snowden infirmait l’idée d’une protection adéquate assurée par le système du Safe Harbor.
Elevant le niveau juridique du débat, l’Avocat général est ainsi naturellement porté à souligner que « l’appréciation du point de savoir si les Etats-Unis, dans le cadre du régime de la sphère de sécurité, garantissent un niveau de protection adéquat aux données à caractère personnel transférées conduit donc nécessairement à se pencher sur la validité de cette décision » (§ 124). Ceci l’oblige à requalifier la demande d’interprétation en question d’appréciation de la validité (de la décision de la Commission). Une telle démarche, pour être rare, est toutefois possible. L’Avocat général, eu égard à la compétence exclusive de la CJUE pour constater l’invalidité d’un acte de l’Union, juge en effet utile de procéder à l’appréciation de validité de la décision « afin de fournir une réponse complète à la juridiction de renvoi et de lever les doutes exprimés au cours de la présente procédure » (§ 128). On ne peut que noter toutefois que la première partie des conclusions semble offrir une réponse satisfaisante à la juridiction de renvoi, laissant en somme toute latitude aux autorités nationales pour mener à bien leur propre analyse du niveau de protection adéquat. Mais par la même, cela ouvre la porte à des solutions différentes d’un Etat membre à l’autre, au gré des saisines de l’autorité nationale de protection des données, ce qui semble peu acceptable au regard du contexte américain révélé par E. Snowden. L’Avocat général invite donc la Cour de justice à prendre clairement ses responsabilités dans ce dossier, sensible aussi bien pour les relations transatlantiques que pour l’opinion publique européenne. Gageons que la Cour de justice saisira la perche qui lui est ainsi tendue.
L’Avocat général ne propose pas pour autant une analyse complète des éléments qui constituent le Safe Harbor, et limite son examen de la décision 2000/520 à la question de savoir si l’espionnage à grande échelle effectué par les services de renseignement américains affecte la légalité de celle-ci. C’est une question cruciale, à laquelle l’Avocat général ne se dérobe pas.
2. Une analyse classique de la question de la validité de la décision
L’Avocat général, rappelant d’abord que l’objectif de la directive 95/46 est d’assurer un niveau élevé de protection des citoyens de l’Union à l’égard du traitement de leurs données, souligne que ce niveau élevé de protection doit être garanti en cas de transfert de données vers un pays tiers. C’est d’autant plus important que sont inscrits dans la Charte le droit fondamental au respect de la vie privée (article 7, voir § 140 des conclusions) et à la protection des données à caractère personnel (article 8, voir § 148 des conclusions).
Il s’attache ensuite à démontrer l’ingérence dans le droit fondamental de l’article 8 que constitue l’accès des services de renseignement américains aux données transférées, ingérence qu’il qualifie de « particulièrement grave, eu égard au nombre important d’utilisateurs concernés et des quantités de données transférées », à l’instar de ce que qu’avait constaté le juge dans l’arrêt Digital Rights Ireland (C-293/12 et C-594/12). Ce constat, s’il est suivi par la Cour, est capital, nous y reviendrons. Une telle ingérence est d’autant plus grave qu’à ce jour les citoyens de l’Union ne disposent d’aucun moyen de recours juridictionnel aux Etats-Unis afin d’être entendus, ce qui constitue en outre une ingérence dans le droit des citoyens de l’Union à un recours effectif protégé par l’article 47 de la Charte.
L’ingérence étant caractérisée, l’Avocat général n’a plus qu’à couler son raisonnement dans la grille d’analyse de l’article 52 § 1 de la Charte. D’emblée, le fait que les services de renseignement américains aient accès semble-t-il au contenu des communications électroniques porte manifestement atteinte « au contenu essentiel du droit fondamental », en l’occurrence le droit au respect de la vie privée de l’article 7 de la Charte. Ensuite, le fait que les dérogations possibles aux principes de la « sphère de sécurité » (Safe Harbor) ne soient pas délimitées avec suffisamment de précision, empêche d’affirmer qu’elles poursuivent un objectif d’intérêt général. Il ressort en outre de la décision de la Commission que les dérogations qu’elle prévoit aux règles relatives à la protection des données ne sont pas limitées au strict nécessaire. Autant d’éléments qui conduisent logiquement l’Avocat général à conclure à l’invalidité de la décision.
Cette dernière ne franchit pas davantage l’obstacle du contrôle de proportionnalité. En effet, l’Avocat général, suivant en cela la logique de l’arrêt Digital Rights Ireland, estime que la surveillance massive (qui concerne l’ensemble des personnes faisant usage des services de communications électroniques) et non ciblée (il n’est pas exigé que les personnes concernées présentent une menace pour la sécurité nationale) « est disproportionnée par nature et constitue une ingérence injustifiée dans les droits garantis par les articles 7 et 8 de la Charte » (§ 200). Il paraît plus que probable que la Cour le suive également sur ce point.
S’intéressant ensuite aux garanties permettant d’assurer une protection efficace des données personnelles – paramètre également très important dans l’arrêt Digital Rights – l’Avocat général constate l’absence aux Etats-Unis d’organes et/ou de mécanismes de contrôle analogues à ceux existant dans le cadre de l’UE. En effet, ni la FTC ni les organismes d’arbitrage prévus n’apparaissent à même de contrôler et sanctionner les dérives commises par les services de renseignement. Le constat général à déplorer est en réalité celui de l’absence, pour les citoyens européens, de tout recours juridictionnel effectif auprès des instances judiciaires américaines (nous y reviendrons). La décision à cet égard, par le biais du régime de la sphère de sécurité qu’elle instaure, ne satisfait pas là non plus aux exigences de protection adéquate des droits fondamentaux.
Le fait que la Commission n’ait pas suspendu sa décision, après le scandale de l’affaire Prism, semble pour l’Avocat général une circonstance aggravante, la Commission ayant elle-même reconnu que les programmes de surveillance américains portaient atteinte au niveau de protection offert par la sphère de sécurité (§ 223). Il ne suffit pas que la Commission ait entamé de nouvelles négociations afin de réformer le système du Safe Harbor, l’Avocat général estime en effet – à juste titre – qu’elle aurait dû suspendre l’application de sa décision, eu égard aux « manquements avérés de la part du pays tiers concerné » (§ 229). L’Avocat général voit dans l’inertie de la Commission un motif supplémentaire de déclarer invalide la décision 200/520. L’accumulation et la solidité de ses arguments rendent sa conclusion imparable…
Si la Cour suit ces conclusions, et nous ne voyons pas comment elle ne pourrait pas les suivre à la lumière de sa jurisprudence récente, extrêmement protectrice du droit fondamental à la protection des données (Digital Rights Ireland, Google Spain), on peut estimer d’ores et déjà que son arrêt figurera parmi les grands. Sa portée sera considérable en tout état de cause.
III) La portée : une bombe à retardement
Il est patent tout d’abord que si la décision d’adéquation de la Commission est déclarée invalide, devront cesser alors tous les transferts de données vers les data centers aux Etats-Unis, opérés par les grandes entreprises américaines impliquées dans la surveillance de masse de la NSA (Google, Facebook, Yahoo, Microsoft…). Les conclusions de l’Avocat général n’ont d’ailleurs pas manqué d’inquiéter ces grands acteurs mondiaux de l’économie numérique qui, au travers de Digitaleurope qui les représente, se sont déclarés préoccupés par les potentiels obstacles aux flux internationaux de données (« data flows »).
La question se pose de savoir si un tel arrêt influencerait positivement les renégociations en cours entre l’UE et les Etats-Unis s’agissant du Safe Harbor. C’est tout à fait possible au regard des négociations concernant l’ « Umbrella agreement », accord général relatif à la protection des données à caractère personnel dans le cadre de la coopération en matière de lutte contre le terrorisme et la criminalité. La Commission vient en effet d’annoncer le 8 septembre dernier la finalisation des négociations après quatre ans de discussions, ce qui, selon la commissaire européenne à la justice, Mme Vera Jourova, constitue « an important step to strenghten the fundamental right to privacy effectively and to rebuild trust in EU-US data flows » (STATEMENT/15/5610). Cet accord, qui s’inscrit dans le cadre de la coopération entre les Etats-Unis et l’UE en matière de lutte contre le terrorisme et la criminalité, a pour but de poser un cadre général en la matière, fixant un certain nombre de principes qui soient à même de garantir un niveau élevé de protection des données. La fin des négociations annoncée par la Commission laisse entendre que les exigences européennes ont été entendues. Au titre de cet accord, les citoyens de l’UE devraient notamment disposer désormais d’un droit de recours devant les tribunaux américains en cas de violations de leurs droits. Il s’agit là du point le plus délicat des négociations passées, dans la mesure où le Privacy Act (loi américaine relative à la protection de la vie privée) réservait jusqu’alors le bénéfice des recours administratifs et juridictionnels aux seuls citoyens américains. Mais cette hypothèque a été levée par l’Attorney général, M. Eric Holder, le 25 juin 2014 à Athènes, à la suite de quoi une proposition de loi afin de remédier à cette lacune a été officiellement déposée au Congrès américain le 18 mars 2015 (Judicial Redress Bill). Ce serait là justement un élément majeur qui contribuerait à assurer un « niveau de protection adéquat » pour pouvoir effectuer le transfert de données vers les Etats-Unis. Mais encore faut-il que le Congrès adopte cette loi, condition préalable indispensable à la conclusion de l’accord par le Conseil.
Deux constats s’imposent dès lors. Le premier, comme nous l’avions déjà écrit ici-même, est que le « soft power » européen semble aujourd’hui porter ses fruits dans le jeu des relations transatlantiques, et le second, que la Cour de justice, construisant arrêt après arrêt un édifice élaboré de protection des droits fondamentaux, est amenée à s’inviter largement dans les débats. La protection des données en sortira nécessairement gagnante.
Enfin, last but not least, un point majeur des conclusions doit être rappelé, qui, s’il est suivi par la Cour, ce qui semble hautement probable, aura des répercussions considérables. Il est souligné en effet que « l’accès des services de renseignement américains aux données transférées concerne de manière globale l’ensemble des personnes faisant usage des services de communications électroniques sans qu’il soit exigé que les personnes concernées présentent une menace pour la sécurité nationale » (§ 199) ce qui permet de conclure qu’ « une telle surveillance massive et non ciblée est disproportionnée par nature et constitue une ingérence injustifiée dans les droits garantis par les articles 7 et 8 de la Charte » (§ 200). Cette démonstration de l’Avocat général s’inscrit dans le droit fil de l’arrêt Digital Rights Ireland (Voir § 65) qui déjà avait condamné toute surveillance de masse indifférenciée. Si cette condamnation est réitérée par la Cour, c’est donc désormais une claire menace qui pèse sur les mécanismes européens de stockage des données tels que le PNR (Passenger Name Record, données des dossiers des passagers aériens), qui doit donner lieu à une directive, actuellement en phase de finalisation (voir un commentaire ici-même : http://www.gdr-elsj.eu/2015/01/25/cooperation-judiciaire-penale/le-pnr-europeen-a-la-croisee-des-chemins-protection-des-donnees-et-lutte-contre-le-terrorisme/).
Les conclusions radicales de l’Avocat général Bot, et l’arrêt de la CJUE qu’elles laissent augurer, sont donc d’une importance fondamentale pour la protection des données à caractère personnel, qui bénéficient semble-t-il de solides défenseurs. L’onde de choc sera probablement puissante, les droits fondamentaux primant désormais intérêts financiers et sécuritaires. Une belle occasion de rapprocher l’Europe de ses citoyens. Gageons que la Cour ne la manquera pas.