Par un arrêt du 6 octobre 2015 (CJUE, 6 octobre 2015, aff. C-362/14), la Cour de Justice de l’Union européenne a invalidé la décision par laquelle la Commission européenne avait constaté que les Etats-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées (safe harbor).
Dans cette affaire, M.Schrems, un ressortissant autrichien résidant en Autriche, est un utilisateur du réseau social Facebook.
Les utilisateurs de Facebook, résidants sur le territoire de l’Union sont tenus de conclure, lors de leur inscription sur le réseau social, un contrat avec Facebook Ireland, filial de Facebook Inc., elle-même établie aux USA.
Les données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union sont transférées vers des serveurs appartenant à Facebook Inc., où elles font l’objet d’un traitement.
Le 25 juin 2013, M. Schrems a déposé plainte auprès du Data Protection Commissioner (commissaire à la protection des données) pour que ce dernier interdise Facebook Irland de transférer ses données à caractère personnel vers les USA.
Monsieur Schrems considérait que ce pays ne garantissait pas une protection suffisante des données à caractère personnel, s’appuyant sur les révélations faites par M. Edouard Snowden concernant les activités des services de renseignement des USA, notamment celles de la NSA.
Le Commissaire rejeta ses demandes pour défaut de preuve.
Monsieur Schrems introduit un recours devant la High Court contre la décision en cause.
La High Court a décidé de surseoir à statuer et de poser à la Cour de Justice de l’Union les questions préjudicielles suivantes :
1) Eu égard aux articles 7, 8 et 47 de la Chartre et sans préjudice des dispositions de l’article 25, paragraphe 6, de la directive 95/46, le Commissaire indépendant chargé de l’appliquer la législation sur la protection des données saisi d’une plainte relative au transfert de données à caractère personnel vers un pays tiers ( USA ), dont le plaignant soutient que le droit et les pratiques n’offrirait pas des protections adéquates à la personne concernée, est-il concernée, est-il absolument lié par la constatation contraire de l’Union contenue dans la décision 2000/520 ?
2) Dans le cas contraire, peut-il ou doit-il mener sa propre enquête en s’intruisant de la manière dont les faits ont évolué depuis la première publication de la décision de la Commission ?
Sur les questions préjudicielles
La Commission européenne s’était prononcée sur la question dans sa décision 2000/520 dans laquelle elle avait constaté que « les activités rentrant dans le domaine d’application de ladite directive, il est considéré que les « principes de la « sphère de sécurité » ( Safe Harbor )» relatifs à la protection de la vie privée », (…) appliqués conformément aux orientations fournies par le ministère du commerce de Etats Unis d’Amérique, assurent un niveau adéquat de protection des données à caractère personnel transférées depuis la Communauté vers les organisations établies aux Etats Unis (…) »
Dans sa décision du 6 octobre 2015 (Affaire Maximillian Schrems / Data Protection Commissioner ( n° C – 362/64 )), la CJUE a vérifié la validité de la décision de la Commission du 26 juillet 2000 n° 200/250 et a rappelé que la Commission était tenue de constater que les Etats-Unis assurent effectivement un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union européenne en vertu de la Chartre, or la Commission n’a pas opéré un tel constat, mai a uniquement examiner le régime de la sphère de sécurité.
De plus, s’agissant du niveau de protection substantiellement équivalent avec les libertés et droits fondamentaux garantis par la Charte, la CJUE constate que « en droit de l’Union, une réglementation n’est pas limitée au strict nécessaire, dès lors qu’elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personne (…) sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif poursuivi ».
La Cour ajoute qu’une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée.
Dès lors, la CJUE a déclaré la décision de la Commission du 26 juillet 2000 invalide et considère que même en présence d’une décision d’adéquation de la Commission européenne, les autorités nationales de protection des données (la CNIL en France) doivent néanmoins pouvoir examiner si le transfert des données personnelles de l’UE vers un pays tiers respecte ou non les exigences de la directive européenne, et ce en toute indépendance.
Les conséquences de cette jurisprudence
Cet arrêt concerne essentiellement les entreprises européennes qui font du « Cloud », mais aussi toutes celles ayant leur maison mère aux États-Unis.
Ces entreprises doivent faire preuve de vigilance concernant le transfert de données personnelles, en effet cela peut concerner de nombreuses données personnelles dans le domaine des ressources humaines notamment le système de rémunération, le développement de carrière, les enquêtes internes (en forte augmentation ces dernières années) concernant par exemple l’application des réglementations américaines, ou bien encore les projets de fusions ou d’acquisitions entre l’Europe et les États-Unis.
De même, cette décision a des conséquences importantes pour des entreprises telles que Facebook, Google, Amazon en ce que tout citoyen de l’Union Européenne ou toute « CNIL » de l’Union européenne peut contester les flux traversant l’Atlantique.
Alors que ces flux sont maintenant illégaux, les autorités réfléchissent sur des nouveaux modes de transfert de ces données en respectant toutes les préconisations européennes.
Pour Isabelle Falque-Piérrotin, la Présidente de la Commission nationale de l’informatique et des libertés (CNIL) « il faut regarder si la protection apportée par les outils alternatif au Safe Harbor est satisfaisante».
La Commission européenne et les autorités américaines ont jusqu’au 31 janvier 2016 pour mettre en conformité les échanges de données à caractère personnel, à défaut, le G29 (le groupement européen des autorités de protection des données personnelles) s’engage à mettre en œuvre des mesures répressives.
Note rédigée par Frédéric POURRIERE.
