Google et Facebook ont-ils le droit de livrer vos données aux autorités américaines ?

Le gouvernement américain espionne-t-il le monde entier ? Neuf entreprises, dont Apple, Google, Facebook et Yahoo, ont été accusées, jeudi 6 juin, de fournir aux services secrets des Etats-Unis un "accès direct" à leurs serveurs. Ces données, recueillies dans le cadre d'un programme secret baptisé Prism, permettraient à l'Agence nationale de sécurité américaine et au FBI de surveiller les activités des internautes.

Les géants du web ont démenti, mais James Clapper, directeur du renseignement américain, ne récuse pas l'existence d'un tel programme. Il justifie même ces surveillances, rapporte Clubic. Elles seraient effectuées "pour protéger notre nation d'une grande variété de menaces".

Mais Google et consorts sont-ils hors-la-loi lorsqu'ils transmettent les données de leurs utilisateurs européens aux autorités américaines ? Francetv info a interrogé Marc Lempérière, avocat aux barreaux de Paris et New York, consultant pour le cabinet Bignon Lebray et spécialiste en droit de l'informatique.

Francetv info : Facebook, Apple ou encore Google ont-ils le droit de transférer les données de leurs utilisateurs européens vers les Etats-Unis ?

Marc Lempérière : En théorie non, car si des données sont traitées en Europe, elles ne peuvent pas bénéficier légalement d'un transfert hors de l'Union européenne sans que l'utilisateur en soit informé, ainsi que de son objet, et y consente. En s'inscrivant sur un site dont le siège est aux Etats-Unis, par exemple, un internaute européen donne son accord pour que ses données soient traitées en France, mais pas pour leur transfert en dehors de l'UE.

Plus largement, une entreprise qui collecte des données dans un pays de l'Union européenne ne peut pas les transférer en dehors, sauf dans le cadre de la loi de 1978, qui stipule que ce transfert n'est possible que vers un Etat où le niveau de protection des données est équivalent. Or, ce n'est pas le cas des Etats-Unis.

En revanche, si vous vivez en France et si vous vous inscrivez sur un site américain qui traite vos informations aux Etats-Unis, sur des serveurs américains donc, il n'y a pas d'histoire de transfert. La loi informatique et libertés française ne s'applique pas.

N'existe-t-il pas un moyen de contourner ces lois ?

Il y a ce qu'on appelle le Safe Harbor, un accord entre la Commission européenne et le département du Commerce américain. Il permet à une entreprise qui siège aux Etats-Unis de certifier qu'elle respecte la législation de l'Espace économique européen sur les données personnelles afin d'obtenir l'autorisation d'un transfert vers les Etats-Unis. Google, Microsoft, Facebook et Apple par exemple, y ont adhéré.

Mais l'entreprise certifiée s'engage à utiliser les données collectées uniquement dans le but pour lequel l'utilisateur a donné son accord. Toutefois, une étude menée en 2008 par une société australienne a constaté que 60% des entreprises enregistrées auprès du Safe Harbor n'ont mis en œuvre aucune politique de protection des données.

Si ces données ne sont pas utilisées dans le cadre consenti, les internautes européens peuvent-ils déposer plainte ?

Une entreprise a beau avoir son siège aux Etats-Unis, si elle exploite un site dirigé vers la France, et en français, elle peut être inquiétée. Ce fut le cas en 2000 pour Yahoo! dans l'affaire de la vente d'objets nazis, où la loi pénale française a été jugée applicable, car le site Yahoo.com était accessible depuis la France. 

Google, par exemple, offre lui aussi des service en français et dirigés vers la France, comme sa messagerie Gmail. Or, en France, l'article 32 du Code des postes et des communications électroniques considère que l'ouverture et l'analyse d'un e-mail est une violation du secret des correspondances.