Happy Birthday Safe Harbour !
Il y a des semaines qui commencent comme les autres. Normale, quasi monotone, pas de dossier sanglant ni d’actualité juridique particulièrement affolante, on se dit que l’intellect ne sera que moyennement sollicité. Et tout à coup, sans crier gare, deux grandes nouvelles qui ont des incidences mondiales débarquent à 24 heures d’intervalle.
Happy Birthday est (provisoirement) dans le domaine public
Je vous disais la semaine passée qu’il était totalement incohérent et légalement contestable que la chanson Happy Birthday soit encore protégée par le droit d’auteur alors que la mélodie remonte à 1893 et les paroles à 1911 au plus tard. Si les auteures de la mélodie sont connues (les sœurs Hill), le ou les auteurs des paroles (aussi simples et peu distinctives soient-elles) ne le sont pas. Un livre de chanson de 1920 répertoriait d’ailleurs la chanson sans aucune mention de droit d’auteur.
Warner Music Group, qui prétendait détenir les droits sur la chanson et se permettait d’empocher environ deux millions de dollars par année grâce aux droits, estimait que son droit était valide dès lors que la société Summy – acquises par Warner – les avait enregistrés en 1935. Warner aurait pu exiger des royalties jusqu’en 2030. Le juge ne lui a pas donné raison.
Ceux qui contestaient la validité des droits de Warner sur la chanson ont argué qu’il n’était pas possible de déterminer qui était vraiment l’auteur de la chanson en raison de multiples publications qui ne créditaient aucun auteur. Il ne pouvait par conséquent pas y avoir eu de transfert de droits valables à Summy (puis Warner).
De plus, ce qui avait été protégé par le droit d’auteur en 1935 (car il fallait à l’époque un enregistrement comme pour les brevets) était un arrangement pour piano. Il semblait donc plus que contestable que les paroles aient aussi été incluses dans la demande de protection. Le juge ne pouvait donc pas présumer que les sœurs Hill étaient les auteures des paroles, et que donc Summy puis Warner détenaient les droits sur les paroles en raison d’un éventuel transfert de droits.
Les paroles seraient donc dans le domaine public depuis des dizaines d’années. Warner ne détiendrait que des droits limités seulement à la distribution et reproduction de l’arrangement pour piano.
Une question demeure : Warner va-t-il devoir rembourser, avec intérêts, les dizaines de millions de dollars perçus au titre d’un droit qui vient de lui être dénié ? La question fera sans doute l’objet d’un autre procès.
Warner n’a pas fait de déclaration sur un éventuel recours de sa part, mais je crois, à titre personnel, qu’il aura lieu. L’affaire n’est pas terminée, mais c’est une victoire d’étape importante qui rappelle que le droit d’auteur doit servir la création et la culture, pas l’inverse.
L’avocat général de la CJUE estime que le Safe Harbour est invalide
Dans une affaire amenée par Maximilian Schrems, un citoyen autrichien, devant la Cour de Justice de l’Union européenne (CJUE) et qui remet en question la validité de l’accord Safe Harbour entre l’Union européenne et les États-Unis, l’avocat général de la CJUE a rendu une opinion qui a un goût de victoire pour les défenseurs de la sphère privée (communiqué de presse).
Le Safe Harbour est un accord entre l’UE et les USA qui pose des conditions en matière de protection des données pour le transfert de données personnelles de l’UE vers les USA.
Selon le considérant 57 de la Directive 95/46/CE, lorsqu’un pays tiers n’offre pas un niveau de protection adéquat, le transfert de données personnelles vers ce pays doit être interdit.
L’article 25 paragraphe 6 de la directive prévoit que la Commission européenne peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat aux données personnelles.
Les USA ne disposant pas d’un niveau adéquat de protection pour les données personnelles, le Safe Harbour consiste précisément en un engagement international des USA visant à instaurer des garanties spéciales en la matière.
Le 26 juillet 2000, la Commission européenne a fait application de l’art. 25 § 6 de la directive et a rendu une décision (2000/520/CE) dans laquelle elle constate que les engagements pris par les USA procurent un niveau de protection adéquat. Par cette décision, la Commission européenne autorise les transferts de données personnelles vers des sociétés privées américaines qui se sont engagées à respecter l’accord Safe Harbour.
Maximilian Schrems avait déposé plainte auprès de l’autorité irlandaise de protection des données (puisque c’est en Irlande que Facebook a son siège européen), car il estimait que depuis les révélations d’Edward Snowden en 2013, on ne pouvait plus considérer que les entreprises américaines fournissaient un niveau de protection adéquat.
L’autorité irlandaise avait rejeté la plainte en invoquant la décision de la Commission européenne du 26 juillet 2000. Saisie par Maximilan Schrems, la Haute Cour de justice d’Irlande a posé la question préjudicielle suivante à la CJUE :
le [préposé à la protection des données] saisi d’une plainte relative au transfert de données à caractère personnel vers un pays tiers (en l’occurrence les États-Unis) dont le plaignant soutient que le droit et les pratiques n’offriraient pas des protections adéquates à la personne concernée est-il absolument lié par la constatation contraire de l’Union contenue dans la décision 2000/520 [du 26 juillet 2000] ?
Selon l’avocat général de la CJUE (dont l’avis en très souvent suivi par la CJUE lorsqu’elle rend son jugement), la réponse est négative. La décision de la Commission ne réduirait en aucun cas les pouvoirs des préposés nationaux à la protection des données dont ils disposent en vertu de la directive 45/96/CE.
L’avocat rappelle que l’intervention d’autorités de contrôle indépendantes est, en effet, au cœur du système européen de protection des données à caractère personnel. Il est donc impératif, pour préserver l’indépendance de ces autorités, qu’elles ne soient pas pieds et poings liés par une décision de la Commission européenne.
En d’autres termes, si une telle autorité estime qu’un pays ne fournit pas de garanties suffisantes en matière de protection des données, elle pourrait interdire le transfert de données vers ce pays, nonobstant l’avis positif de la Commission européenne.
Compte tenu de l’importance du rôle qu’occupent les autorités nationales de contrôle en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel, leurs pouvoirs d’intervention doivent demeurer entiers même lorsque la Commission a adopté une décision sur le fondement de l’article 25, paragraphe 6, de la directive 95/46.
L’avocat constate ensuite, en ce qui concerne la validité de la décision de la Commission du 26 juillet 2000, que
[…] le droit et la pratique des États-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées dans le cadre du régime de la sphère de sécurité, sans que ces derniers bénéficient d’une protection juridictionnelle effective.
[…] la décision 2000/520 ne contient pas suffisamment de garanties. En raison de ce défaut de garanties, cette décision a été mise en œuvre d’une manière qui ne répond pas aux exigences requises par la Charte ainsi que par la directive 95/46.
[…] une décision adoptée par la Commission sur le fondement de l’article 25, paragraphe 6, de la directive 95/46 a pour objet de constater qu’un pays tiers «assure» un niveau de protection adéquat. Le terme «assure», conjugué au temps présent, implique que, pour pouvoir être maintenue, une telle décision doit concerner un pays tiers qui continue, après l’adoption de ladite décision, à garantir un niveau de protection adéquat.
En réalité, les révélations dont il est fait état sur les agissements de la NSA qui utiliserait des données transférées dans le cadre du régime de la sphère de sécurité ont jeté la lumière sur les faiblesses de la base légale que constitue la décision 2000/520.
Il reste maintenant à attendre quel sera le jugement de la Cour. Si elle devait suivre l’avis de son avocat général, l’accord Safe Harbour devrait être provisoirement suspendu, et renégocié si les flux de données personnelles de l’UE vers les USA veulent pouvoir continuer.
En ce qui concerne la Suisse, un accord Safe Harbour spécifique existe également. À n’en pas douter, il est actuellement sur la sellette et le jugement de la CJUE, bien qu’il ne s’impose pas à la Suisse, devrait également pousser celle-ci à la suspension et à la renégociation.