Frédéric PIERUCCI, Fondateur du cabinet de conseils en compliance stratégique et opérationnelle IKARIAN et auteur du livre ‘Le Piège Américain’ (Prix Littéraire Nouveaux Droits de l’Homme 2019)

Pauline GUILLERME, Responsable Conformité anticorruption et protection des données personnelles et anciennement avocate au Barreau de Paris


Dix ans après les révélations Snowden, quelles réponses judiciaires et juridiques ont été apportées par l’UE et la France pour sanctionner les entreprises complices de la NSA et par-delà se préserver de l’espionnage industriel américain, protéger la souveraineté sur les données stratégiques de leurs entreprises et faire respecter le droit à la vie privée de leurs citoyens?

Le contenu des révélations Snowden et de leurs suites

En juin 2013, les documents d’Edward Snowden ont permis de révéler la surveillance de masse électronique exercée par les agences américaines, avec la collaboration des ‘Five Eyes’, leurs alliés britanniques, canadiens, australiens et néozélandais. Des dizaines de programmes secrets ont ainsi permis à la NSA d’accéder à grande échelle aux données de citoyens, d’entreprises, d’institutions et d’Etats du monde entier (contenu d’emails, données téléphoniques, messages sur les réseaux sociaux, géolocalisation…). A raison d’un demi milliard de communications privées surveillées par mois, la NSA aurait recueilli plus de 97 milliards de données en mars 2013. Snowden a ainsi révélé que la NSA ne collectait pas seulement les données de suspects criminels mais aussi celles d’employés et de citoyens du monde entier.


Ces « révélations » sont venues s’inscrire dans la longue tradition américaine d’espionnage de ses alliés européens dans la continuité du scandale « Echelon » de la fin des années 90s. Pour rappel, Echelon avait été principalement conçu par la NSA pour intercepter de très grandes quantités de communications sur des cibles non militaires de pays, notamment européens, en en extrayant ensuite les données sensibles grâce à des outils d’IA. Les résultats de cet espionnage massif d’entreprises européennes étaient ensuite envoyés à l’« Advocacy Center », un service du Département américain du commerce, et partagés avec les sociétés américaines afin de remporter des contrats contre leurs concurrents européens1.
Thomson2 pour un contrat de surveillance de la forêt amazonienne et Airbus pour un contrat en Arabie Saoudite en avaient déjà été les victimes. Déjà aussi il avait été révélé que « toute technologie américaine(software et hardware) licitement exportée vers l’Europe est considérée comme intrinsèquement et volontairement sujette à une surveillance aisée, à distance et discrète par les services américains »3.
Ce que les Etats-Unis légaliseront en 2018 avec le « CLOUD Act ». Et déjà à l’époque, malgré les demandes répétées de la Présidente du Parlement Européen, Nicole Fontaine, l’UE préféra ne pas pousser plus loin ses enquêtes de peur de frustrer l’allié américain et d’embarrasser le Royaume Uni, alors encore membre de l’UE, ayant agi contre les intérêts économiques européens.


Mais cette fois-ci, en 2013, les Etats-Unis sont passés à la vitesse supérieure. Pour justifier de la légalité et du caractère extraterritorial de leurs programmes de surveillance de masse, les Etats-Unis s’en sont référés, comme ils ont coutume de le faire, à la sécurité nationale et à la lutte antiterroriste en visant la section 215 du Patriot Act de 20014 et la section 702 du FISA Act5. Toutefois, l’affaire Snowden a mis en lumière non seulement l’ampleur de la collecte de données par les américains et la violation de la vie privée des citoyens européens (par exemple, via le programme ‘XKeyscore’ permettant la surveillance de masse sur Internet6), mais également l’espionnage industriel et commercial auquel se livrent en réalité les États-Unis pour déstabiliser les entreprises occidentales concurrentes. Cette affaire a permis de pointer la complicité des grandes entreprises américaines du numérique, forcées de livrer à la NSA leurs données, avec mandat judiciaire (cas de l’opérateur téléphonique Verizon7) ou sans (programme ‘PRISM’ visant les fournisseurs américains de services électroniques8). Plus surprenant encore, ces révélations ont permis de mettre en évidence que l’Europe n’ignorait rien de ces agissements et que certaines agences de renseignements européens collaboraient avec la NSA, à l’instar du GCHQ au Royaume-Uni qui lui a fait profiter de son programme ‘TEMPORA’ permettant d’intercepter les données transitant par les câbles de fibre optique transatlantiques.

Après ces premières révélations, les confirmations d’espionnage politique et industriel mené par les Etats-Unis ont essaimé. Et il s’est avéré que les Britanniques n’étaient pas l’unique cheval de Troie dans l’UE à servir les intérêts américains puisque d’autres Etats européens (Allemagne, Danemark) auraient prêté main forte à la NSA :

  • mise sur écoute des institutions européennes, par l’intermédiaire de leur prestataire officiel de télécommunication (l’entreprise belge Belgacom), avec la collaboration du GCHQ britannique9 ;
  • captation des appels téléphoniques à bord d’avions de ligne, dont ceux de la société française Air France, par les services de renseignement américains et britanniques10;
  • espionnage d’Airbus depuis 2005 avec l’aide du BND allemand11;
  • espionnage d’une centaine de grandes entreprises françaises du secteur de la télécommunication, du transport, de l’environnement, de l’énergie et de la santé, soumissionnaires à des appels d’offres dépassant 170 millions d’euros et impliquant des entreprises concurrentes américaines12;
  • mise sur écoute d’Angela Merkel et d’autres personnalités politiques outre-Rhin, ainsi que des personnalités françaises, norvégiennes et suédoises entre 2012 et 2014, avec la collaboration des service de renseignement de la défense danois (Forsvarets Efterretningstjeneste)13.

Quelles auraient pu être et quelles ont été, en Europe et en France, les conséquences judiciaires et réglementaires de ces révélations ?

Au niveau des Etats membres de l’UE, ce sont principalement des associations de défense de droit à la vie privée qui se sont mobilisées pour intenter des actions judiciaires sur le fondement des atteintes aux libertés individuelles et des violations des droits de l’Homme, plutôt que des ministères publics ou des entreprises victimes qui auraient pu agir sur l’aspect guerre économique, espionnage industriel ou vol de données stratégiques.
En France, certes, à l’époque des faits, la codification du secret des affaires n’avait pas encore eu lieu14. Néanmoins, dès 2003, la question de l’édification d’un droit du secret des affaires pour protéger les entreprises françaises face au développement de l’espionnage industriel et les doter de moyens de lutter à armes égales dans la concurrence internationale émergeait déjà à l’Assemblée Nationale15. D’autres dispositions du Code pénal auraient toutefois pu permettre de sanctionner l’espionnage américain : l’accès et le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données, la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite, l’atteinte volontaire à l’intimité de la vie privée d’autrui, l’utilisation et conservation d’enregistrements et de documents obtenus par le moyen d’une atteinte à l’intimité de la vie privée d’autrui ou encore l’atteinte au secret des correspondances électroniques16. Ce sont bien ces infractions qui ont été visées par la FIDH et la LDH dans la plainte simple qu’elles ont déposée contre X, le 11 juillet 2013, auprès du Parquet de Paris concernant le programme PRISM. Toutefois, si une enquête préliminaire a été ouverte, aucune suite n’a été donnée au dossier. Le 8 avril 2015, suite à l’inertie du Parquet, la FIDH et la LDH ont déposé une nouvelle plainte avec constitution de partie civile, et ce alors que de nouvelles informations avaient permis de révéler que les Présidents Jacques Chirac, Nicolas Sarkozy et François Hollande avaient été placés sur écoutes par la NSA entre 2006 et 2012. Dix ans après, aucune de ces deux plaintes n’a abouti à des mises en examen par exemple d’entreprises américaines du numérique ou de leurs dirigeants complices de la NSA. Aucune action judiciaire n’a non plus été initiée par la France dans l’affaire des écoutes, malgré les demandes de certains politiques17. La France s’est contentée d’une déclaration indignée et d’une convocation, pour la forme, de l’ambassadrice américaine18.

En Allemagne, Chaos Computer Club, la Ligue internationale des droits humaines et Digital Courage ont déposé plainte le 3 février 2013 auprès du procureur fédéral allemand contre le gouvernement fédéral allemand et les présidents des services secrets allemands concernant la surveillance généralisée de la population allemande. Les chefs d’infraction allégués étaient les activités illégales d’espion étranger en Allemagne, la violation du droit à la vie privée, l’entrave à l’exercice de la justice et la violation du droit au respect de la communication privée19. Là encore, cette plainte n’a pas abouti, le procureur fédéral allemand indiquant qu’il n’enquêterait pas sur la surveillance des citoyens allemands ‘faute de preuves suffisantes que des infractions ou des faits pénalement répréhensibles aient été commis’. S’il a parcontre ouvert, le 4 juin 2014, une enquête sur l’écoute du téléphone portable d’Angela Merkel par la NSA, il l’a finalement classé sans suite un an plus tard au motif que les accusations ne pouvaient pas ‘être prouvées légalement dans le cadre du droit pénal’. Coté entreprise, suite aux révélations de la complicité du BND avec la NSA pour espionner Airbus, cette dernière a annoncé en avril 2015 qu’elle allait porter plainte contre X20. Mais là encore, aucune suite n’a été donnée.


Aux Pays-Bas, un groupe d’avocats, de journalistes et de défenseurs de la vie privée a initié une action contre l’Etat néerlandais en raison des informations qui auraient été utilisées par les services secrets néerlandais (AIVD), et obtenues de manière illégale de la NSA via des programmes d’espionnage en masse comme PRISM, en violation des droits fondamentaux garantis par le droit international et la CEDH»21. Toutefois, la Cour hollandaise a jugé qu’en vertu de la loi nationale, les services de renseignement néerlandais étaient autorisés à collaborer avec la NSA et que les exigences générales de la CEDH avaient été respectées22 .


En Belgique, suite à la mise sur écoute des institutions européennes par le GCHQ anglais via la société belge Belgacom, celle-ci a porté plainte le 9 juillet 2013 pour «accès non autorisé au système informatique interne de la société». Si le parquet belge a mené son enquête, l’affaire est restée sans suite. On notera que le ministère britannique de l’Intérieur a refusé de coopérer à l’enquête en évoquant clairement que celle-ci pourrait « compromettre la souveraineté, la sécurité et l’ordre public» du RoyaumeUni23.

Enfin, si l’Autriche a déposé plainte contre X concernant la collaboration des services de renseignement allemands avec la NSA, aucune suite ne lui a, non plus, été donnée24.
Quant aux autres Etats membres, ils ne semblent pas avoir initié de poursuites judiciaires.

Au niveau européen, plusieurs initiatives ont été prises sur le terrain de la violation des droits fondamentaux de l’UE, de l’atteinte aux libertés individuelles et de la protection des données.

Tout d’abord, la CEDH a eu à se pencher pour la première fois sur la coopération entre les services de renseignement britanniques et la NSA en matière de surveillance de masse25. Trois requêtes ont été déposées contre le Royaume Uni devant la CEDH entre 2013 et 2015 par plusieurs journalistes et ONG au motif que leurs communications électroniques et leurs données aient pu être interceptées ou recueillies par les services de renseignements britanniques et partagées avec des Etats étrangers. Toutefois, si la Cour a notamment condamné le Royaume Uni pour violation de l’article 8 de la CEDH (droit au respect de sa vie privée) pour ne pas avoir suffisamment entouré de garanties son régime de surveillance de masse26, pour autant, s’agissant du partage de renseignements avec les États étrangers, on peut regretter qu’elle n’ait pas émis d’objection de principe à une telle collaboration. Pire, la Cour a estimé que le droit interne britannique indiquait avec suffisamment de clarté la procédure à suivre pour demander l’interception ou le transfert de données provenant d’agences de renseignement étrangères et que la preuve de lacunes importantes dans l’application et le fonctionnement du régime n’avait pas été rapportée27.

Coté CJUE, aucun Etat membre n’a intenté de saisine pour faire constater les manquements du Royaume-Uni, ou de tout autre État membre allié de la NSA, à leurs obligations européennes, alors que certaines dispositions du Traité sur l’Union européenne auraient pu être invoquées à cet effet. C’est le cas notamment de l’article 4.3 (ex article 10 du traité CE) qui dispose qu’« En vertu du principe de coopération loyale (…) Les États membres facilitent l’accomplissement par l’Union de sa mission et s’abstiennent de toute mesure susceptible de mettre en péril la réalisation des objectifs de l’Union. » Or, lorsqu’un Etat membre, tel que le Royaume Uni, prête assistance à un système d’interception massif de communications destiné, non pas à assurer la sûreté nationale mais à espionner des entreprises sur le territoire communautaire, en permettant d’utiliser ses propres services de renseignement ou en mettant son territoire à la disposition de services de renseignement étrangers, cet État membre ne se rend-il pas complice de ce système et ne met-il pas nécessairement en péril la réalisation des objectifs de l’UE ?

De même, aucune poursuite n’a été initiée directement à l’encontre des Etats-Unis pour violation du droit international. Pourtant, le respect de la vie privée est un droit de l’Homme consacré par l’article 17 du Pacte international relatif aux droits civils et politiques ratifié par les Etats-Unis le 8 juin 199228.
Leur responsabilité aurait ainsi pu être engagée devant la Cour internationale de justice de La Haye (CIJ) par un autre Etat partie. De même, lors des révélations des écoutes de la diplomatie française, la France aurait pu saisir la CIJ, compétente en cas de différend, en se fondant sur les articles 24 et 27 de la Convention de Vienne du 18 avril 1961 sur les relations diplomatiques, ratifiée en 1970 par la France et en 1972 par les États-Unis, et qui protège la correspondance et les communications des diplomates. Ou sur la Convention sur les privilèges et immunités des Nations Unies du 13 février 1946, à laquelle la France et les États-Unis sont aussi parties, et qui prévoit que les communications des représentants des États membres auprès de l’ONU sont inviolables29.
Les Etats membres de l’UE auraient pu a minima demander à l’ONU un avis consultatif de la CIJ sur la compatibilité des activités présumées de la NSA avec la Convention de Vienne ou recourir à un arbitrage indépendant30. Même si le litige n’aurait porté que sur l’espionnage des missions diplomatiques, et non sur la surveillance de masse, une telle initiative aurait été une réponse politique et diplomatique forte et une aubaine de faire respecter aux États-Unis le droit international qui, rappelons-le, a été construit après-guerre sous l’impulsion …des américains.


Face à cette impunité judiciaire, l’UE a quand même pris le parti de réagir politiquement sur le volet de la protection des données, ce qui permettra notamment la création du Règlement général sur la protection des données (RPGD) de 2018.


Les révélations de Snowden ont ainsi conduit le Parlement européen à ouvrir une enquête. Dans sa résolution du 4 juillet 2013, il a appelé la Commission à prendre immédiatement les mesures nécessaires pour assurer que toutes les données personnelles transférées aux États-Unis soient soumises à un niveau efficace de protection qui serait équivalent à celui garanti dans l’UE. Dans son avis du 10 avril 2014, le G29, rassemblant à l’époque les autorités européennes de protection des données, a également réclamé une adoption rapide du projet du Règlement européen relatif aux données personnelles.

La suite est de notoriété publique : Invalidation du ‘Safe Harbour’ par l’arrêt Schrems de la CJUE le 6 octobre 201531. Adoption le 1er aout 2016 d’une nouvelle décision encadrant le transfert de données entre l’UE et les États-Unis, copie de la précédente, sous le nouveau nom de «Privacy Shield». Entrée en vigueur dans l’UE du RPGD le 25 mai 2018. Invalidation du ‘Privacy Shield’ par la CJUE dans son arrêt ‘Schrems II’ du 16 juillet 202032.


Ce vide juridique a été comblé le 10 juillet dernier par l’adoption du « Data Privacy Framework » par la Commission européenne. L’UE assure avoir obtenu des garanties sur la protection des données personnelles des citoyens européens suite au décret de Joe Biden d’octobre 202233. Les Etats Unis ont ainsi promis de limiter l’accès aux données européennes par leurs autorités à ce qui est « nécessaire » et « proportionné » pour protéger la « sécurité nationale » et de mettre en place un nouveau mécanisme de recours à deux niveaux pour les citoyens européens auprès d’un « Officier de protection des libertés civiles » de la communauté du renseignement américain et d’une « Cour » américaine chargée du contrôle de la protection des données34. Pourtant, ce nouvel accord semble être une pâle copie du précédent « Privacy Shield » et davantage une décision politique répondant à une pression des Etats-Unis qu’à un véritable instrument juridique de protection des données européennes35.


Max Schrems a d’ores et déjà indiqué qu’il préparait un recours devant la CJUE contre ce nouveau texte européen36 . Nul doute que son action conduira à un nouveau ‘Schrems III’ et à une invalidation du « Data Privacy Framework ». L’insécurité juridique pour les entreprises vis-à-vis de la conformité au RGPD risque donc de se perpétuer pour de nombreuses années encore37.
Mais en toute hypothèse, même en cas d’adoption d’un accord encadrant le transfert UE/US, existeil des mesures de nature à véritablement offrir une protection satisfaisante lorsque des données européennes sont transférées aux Etats-Unis ?


Il apparaît tout d’abord difficile concrètement d’empêcher légalement (à cause du FISA 702 et du Cloud Act38) ou techniquement les autorités américaines d’accéder aux données transitant depuis l’UE, lesquelles procèdent, à des interceptions de trafic sur les câbles réseaux, en sus de la collecte sur les serveurs des fournisseurs américains. En outre, la mise en place de solutions de chiffrement de bout en bout demeure sans effet si les autorités américaines disposent de la possibilité de déchiffrement ou si la législation américaine enjoint les opérateurs de leur communiquer leurs clés de chiffrement (comme prévu dans la proposition de loi « Lawful Access to Encrypted Data Act »).


En résumé, qu’il existe ou non un accord de transfert UE/US, le gouvernement américain a toujours la possibilité d’accéder aux données européennes.


Une solution aurait été d’imposer aux Etats-Unis de modifier leur législation, notamment le FISA 702. Alors que cette loi, qui contenait une clause de caducité, s’apprête à être prolongée, l’UE aurait pu profiter des négociations sur le Data Privacy Framework pour exiger une amélioration de cette règlementation qui légalise l’espionnage industriel à l’étranger et viole le droit à la vie privée des citoyens non américains. Elle ne l’a pas fait.


L’unique solution qui s’offre actuellement aux entreprises européennes reste donc celle d’identifier dans leur système information leurs données sensibles et de les déporter et de les sanctuariser dans des coffres forts numériques en utilisant des prestataires européens. Si des initiatives ont été prises à l’échelle européenne et française (projet « Gaïa-X », projet Andromède, « cloud souverain » pour développer une filière industrielle du cloud), elles restent pour l’instant un échec car souvent vidées de leur substance par des intérêts américains comme l’initiative française du « Cloud de confiance ». Pour autant, il demeure indispensable de renforcer les investissements français et européens dans la filière du cloud réellement souverain à l’image du projet Numspot développé par Docaposte, Dassault Systèmes, Bouygues Telecom et la Banque des Territoires39. Il est essentiel de consolider le secteur des entreprises numériques françaises afin de créer des poids lourds capables de rivaliser avec les géants américains et de les renforcer en orientant vers elles la commande publique40, comme ont très bien su le faire les Etats-Unis dans le processus de création des GAFAM.

Conclusion : « La folie, c’est de faire toujours la même chose et de s’attendre à un résultat différent ! »41

Dix ans après les révélations de Snowden, si l’UE a légiféré sur le numérique et la protection des données et si quelques recours judiciaires ont été intentés au niveau national et européen, il n’en demeure pas moins que le résultat est bien maigre.


Nonobstant le paiement par les entreprises européennes sur les quinze dernières années d’environ 50 milliards de dollars d’amende -dont environ 15 pour les sociétés françaises- au Trésor américain pour clore des enquêtes du Department of justice (DOJ) en application des différentes lois extraterritoriales américaines (en matière de lutte contre le terrorisme, contre la corruption, protection des données, droits de l’homme, export control…) et malgré l’indignation publique après chaque nouveau scandale d’espionnage, l’UE n’a toujours pas réussi à adopter une position ferme, par le biais d’instruments juridiques efficaces, face aux Etats-Unis, allant même jusqu’à faire bénéficier d’une immunité leurs ‘complices’ européens.


Profitant de cette faiblesse politique européenne accrue par la crise ukrainienne, les Etats-Unis continuent de défendre leurs intérêts et de pousser leurs pions, comme on l’a vu récemment avec la tentative (heureusement avortée principalement à l’initiative de la France) de nomination de l’américaine Fiona Scott, anciennement responsable à la division antitrust du DOJ et consultante pour les GAFAM, à un poste clef de la DG Concurrence de la Commission Européenne, censée justement réguler les GAFAM.


  1. STOA, PE 168.184, vol. 2/5, point 5: Comint and economic intelligence. William Webster, ancien directeur de la CIA, ne s’en était d’ailleurs pas caché en affirmant : «
    Nos alliés politiques et militaires sont aussi des rivaux économiques et les capacités d’un rival économique à créer, capturer ou contrôler des marchés dans l’avenir ont des
    implications en matière de sécurité pour les Etats-Unis ».
  2. Document présenté lors de la réunion de la commission du 6 mars 2001 par M. La Fragette, de l’entreprise française Circé, qui fournit des conseils dans le domaine de
    l’espionnage industriel, PE5 AP PV/ECHE.2000 ECHE-20010305 0075
  3. Development of Surveillance Technology and Risk of Abuse of Economic Information – Appraisal of Technologies of Political Control (Volume 1 to 5). Working
    document for the STOA Panel, European Parliament, Directorate General for Research – PE 168.184 (DG-4-JOIN_ET – 1999) et Rapport complémentaire sur la manière
    dont les services belges de renseignement réagissent face à l’éventualité d’un réseau Echelon d’interception des communications, http://www.crid.be/pdf/public/4226.pdf.
  4. Ce texte permet aux services de renseignement d’obtenir une ordonnance secrète d’un tribunal exigeant que des tiers (par exemple, des opérateurs de télécommunication privés) lui remettent tout enregistrement ou autre «objet tangible» s’il est jugé «pertinent» dans le cadre d’une enquête sur le terrorisme international, le contre-espionnage ou le renseignement étranger
  5. Ce texte autorise aux services de renseignement le « ciblage de personnes qui se trouvent en dehors du territoire des Etats-Unis afin d’obtenir des informations de
    renseignement étranger »
  6. Le programme XKeyscore a permis à la NSA de surveiller en temps réel la navigation Internet de citoyens américains et étrangers (emails, recherches, utilisation des
    réseaux sociaux ou toute autre action effectuée sur internet pour remonter vers une cible).
  7. En vertu d’une ordonnance judiciaire secrète de la ‘Foreign Intelligence Surveillance Court’, l’opérateur téléphonique américain Verizon aurait été forcé de livrer quotidiennement à la NSA des métadonnées sur tous les appels téléphoniques de son système.
  8. Le programme PRISM a donné un accès direct à la NSA aux données de citoyens étrangers hébergées sur les serveurs de neuf fournisseurs américains de services
    électroniques (Microsoft, AOL, Facebook, Apple, Google, You Tube, Yahoo Skype, Pal Talk) incluant notamment les historiques de recherches et de connexions effectuées sur le net, le contenu d’emails, de communications audio et vidéos, des fichiers photos, des transferts de documents ainsi que le contenu de conversations en ligne.
  9. ‘Operation Socialist’ : https://www.europarl.europa.eu/doceo/document/E-8-2014-010269_FR.html; https://blogs.mediapart.fr/poj/blog/251114/la-nsa-espionnait-leuropepartir-de-la-belgique-en-setant-introduit-chez-belgacom
  10. Programme baptisé ‘Southwinds’ qui aurait permis de collecter tout le trafic voix et data, métadonnées et contenu des connexions à bord des avions, permettant ainsi
    d’espionner politiquement ou économiquement des milliers de passagers en première ou en affaires sur des long-courriers, et non uniquement des suspects reliés au terrorisme https://www.lefigaro.fr/societes/2016/12/07/20005-20161207ARTFIG00243-le-retard-technologique-d-air-france-rempart-contre-l-espionnage.php https://www.lemonde.
    fr/pixels/article/2016/12/07/les-services-americains-et-britanniques-ont-espionne-les-appels-passes-a-bord-des-vols-air-france_5044732_4408996.html
  11. Révélations 2014 https://www.france24.com/fr/20150501-espionnage-nsa-airbus-va-porter-plainte-allemagne-aeronautique-medias-merkel
  12. Révélations Wikileaks de Juillet 2015. Les informations obtenues par la NSA auraient été partagées avec les ‘Five Eyes’ afin “d’aider à la signature de contrats à
    l’exportation” https://www.courrierinternational.com/article/france-nsa-les-entreprises-francaises-espionnees-echelle-industrielle;https://www.merkur.de/politik/wikileakswirft-usa-wirtschaftsspionage-in-frankreich-vor-zr-5186921.html ;https://wikileaks.org/nsa-france/spyorder/#spyorder1 ;https://www.lefigaro.fr/conjoncture/2015/06/29/20002-
    20150629ARTFIG00410-la-nsa-espionnait-aussi-les-grandes-entreprises-francaises.php
  13. Révélations de mai 2021 : https://www.france24.com/en/technology/20210601-how-denmark-became-the-nsa-s-listening-post-in-europe
  14. Articles L 151-1 et suivants du Code de commerce, apparus avec la loi n°2018-670 du 30 juillet 2018, transposition de la « directive européenne sur la protection des
    savoir-faire et des informations commerciales non divulguées » du 8 juin 2016. L’effectivité de ce nouveau texte a été contesté par certains au motif que la voie civile du
    contentieux a été retenue au détriment de la voie pénale, ne permettant ainsi pas de concurrencer les sanctions américaines. En effet, les sanctions financières en France
    sont loin d’atteindre le montant des sanctions américaines (900 millions de dollars, par exemple, payés en 2011 par un concurrent sud-coréen déloyal de Dupont de Nemours) et les sanctions pénales seraient plus dissuasives.
  15. https://www.assemblee-nationale.fr/13/rapports/r4159.asp
  16. article 323-1, article 226-18, article 226-1, article 226-2, article 226-15 alinéa 2 du code pénal
  17. L’eurodéputée écologiste Eva Joly avait par exemple demandé au parquet de Paris d’ «ouvrir une information pour espionnage et de chercher à identifier les auteurs et
    l’étendue de ces crimes».
  18. https://www.liberation.fr/planete/2015/06/24/l-impossible-riposte_1336491/
  19. Section 99, Section 201, Section 258 du Code pénal allemand et Article 10 de la Loi fondamentale de la République fédérale
  20. https://www.lesechos.fr/2015/04/berlin-accuse-despionnage-airbus-porte-plainte-contre-x-261091
  21. https://www.securityweek.com/dutch-government-sued-over-nsa-spying-claims/; https://privacyfirst.nl/en/articles/lawsuit-against-dutch-state-against-illegal-data-espionage/
  22. https://www.csoonline.com/article/547878/data-protection-dutch-spy-agencies-can-receive-nsa-data-court-rules.html
  23. https://www.liberation.fr/planete/2018/11/02/belgacom-ou-les-aleas-du-piratage-entre-amis_1689285/
  24. https://www.reuters.com/article/germany-spying-nsa-austria-idUSL5N0XW4HB20150505; https://www.euronews.com/2015/05/05/austria-lodges-legal-complaint-over-german-us-spy-scandal
  25. Arrêt Big Brother Watch and Others v. the United Kingdom du 25/05/2021
  26. La Cour a estimé que dans la loi britannique, l’accès aux données n’était pas limité à la lutte contre les « infractions graves » et ne faisait l’objet d’aucun examen préalable
    par un tribunal ou un organe administratif indépendant.
  27. La Cour estime notamment « que la transmission, par un État contractant, d’informations obtenues au moyen d’une interception en masse à des États étrangers ou à des
    organisations internationales devrait être limitée aux éléments recueillis et conservés d’une manière conforme à la Convention, et qu’elle devrait être soumise à certaines
    garanties supplémentaires relatives au transfert lui-même. (…) l’État qui transfère les informations en question doit s’assurer que l’État destinataire a mis en place, pour la
    gestion des données, des garanties de nature à prévenir les abus et les ingérences disproportionnées. L’État destinataire doit, en particulier, garantir la conservation sécurisée des données et restreindre leur divulgation à d’autres parties. Cela ne signifie pas nécessairement qu’il doive garantir une protection comparable à celle de l’État qui
    transfère les informations, ni qu’une assurance doive être donnée avant chaque transfert.» (Big Brother Watch, § 362).
  28. https://www.legrandsoir.info/edward-snowden-les-droits-de-l-homme-et-le-droit-public-international.html
  29. https://www.project-syndicate.org/commentary/nsa-surveillance-and-us-violation-of-international-law-by-john-bruton/french
  30. https://www.lemonde.fr/idees/article/2013/10/28/la-diplomatie-francaise-sur-ecoute-la-cour-internationale-de-justice-est-une-option_3503906_3232.html
    https://www.project-syndicate.org/commentary/nsa-surveillance-and-us-violation-of-international-law-by-john-bruton/french
  31. La CJUE a invalidé le ‘Safe Harbour’, accord du 26 juillet 2000 de la Commission européenne qui encadrait le transfert de données personnelles de l’Union européenne
    vers les Etats-Unis, au motif que les programmes de surveillance de masse des Etats-Unis sont incompatibles avec une protection adéquate des droits des citoyens européens, que le système américain ne prévoit pas de garanties pour limiter les ingérences de la part des autorités américaines dans le droit à la vie privée et la protection des
    données, ni de recours juridictionnel efficace pour les citoyens.
  32. La CJUE a analysé la Section 702 FISA et Executive Order 12 333 et en a conclu que les atteintes portées à la vie privée des personnes dont les données sont traitées par
    les entreprises et opérateurs états-uniens soumis à cette législation sont disproportionnées au regard des exigences de la Charte des Droits Fondamentaux : la collecte des
    données par les services de renseignement n’est pas proportionnée et les voies de recours, y compris juridictionnelles, dont disposent les personnes à l’égard du traitement
    de leurs données sont insuffisantes..(https://www.cnil.fr/fr/presentation-de-larret-de-la-cjue)
  33. Executive Order 14086 of October 7, 2022
  34. https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752
  35. https://www.politico.eu/article/us-eyes-breakthrough-on-data-dispute-with-eu-biden-visit-privacy-shield-ukraine/
  36. Shrems décrie notamment le caractère nébuleux du décret de Joe Biden qui indique que la surveillance de masse prévue par la loi FISA 702 serait «proportionnée»
    et que la nouvelle « Cour » ne serait pas un tribunal mais un organe exécutif partiellement indépendant qui ne permettra aucune interaction directe du plaignant ni avec
    l’officier de protection des libertés civiles ni avec la Cour. https://noyb.eu/fr/european-commission-gives-eu-us-data-transfers-third-round-cjeu
  37. En l’absence d’accord européen de transfert UE/US depuis 2020, la CJUE a demandé aux entreprises qui continuaient de transférer leurs données aux US qu’elles
    mettent en place des garanties supplémentaires, en sus du mécanisme des « clauses contractuelles types » qui n’étaient pas de nature à constituer une protection suffisante
    puisque non opposables aux autorités américaines. Elle n’a toutefois jamais précisé quels types de mesures additionnelles pouvaient constituer une protection adéquate
    contre l’ingérence des autorités américaines. Nombre d’entreprises américaines ont donc continué à transférer leurs données vers les Etats-Unis, en dehors de toute garantie supplémentaire protectrice, et sans que les autorités nationales chargées de la protection des données ne sévissent. On saluera toutefois la récente décision prise à
    l’encontre de Facebook, le 22 mai dernier, qui a été condamnée à une amende record de 1,2 milliards d’euros pour violation du RGPD.
  38. Depuis le Cloud Act de 2018, les autorités américaines peuvent demander aux fournisseurs de services de communication électroniques et de cloud américains, ou aux
    fournisseurs étrangers qui ont déployé une partie de leurs activités aux États-Unis, de leur communiquer, dans le cadre d’enquêtes, les données de leurs clients, sans leur
    consentement, que ces données soient hébergées sur des serveurs basés sur le territoire américain ou à l’étranger.
  39. https://www.entreprises.gouv.fr/fr/actualites/numerique/numspot-partenariat-pour-nouveau-service-de-cloud-de-confiance
  40. http://www.senat.fr/rap/r21-755/r21-75516.html
  41. Citation d’Einstein

Plus d’articles