La Cour de Justice de l’Union européenne invalide le « Safe Harbor » : conséquences et perspectives

Aux termes d’un arrêt très attendu, la Cour de Justice de l’Union européenne (CJUE) a invalidé le 6 octobre 2015, la décision de la Commission européenne du 26 juillet 2000 (dite « Safe Harbor ») qui constatait que les Etats-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées depuis l’Union européenne.

Cet arrêt majeur rappelle aux autorités de contrôles nationales, comme la CNIL, qu’elles peuvent suspendre un transfert de données en cas d’atteinte avérée ou de risques d’atteinte aux droits fondamentaux.

Les faits :

Au sein de l’Union européenne, les conditions légales de transfert des données personnelles hors de l’Union européenne sont réglées par la directive 95/46.

Cette directive dispose notamment qu’un tel transfert de données personnelles ne peut avoir lieu que si le pays de destination assure un niveau de protection adéquat à ces données.

Une telle appréciation est prise sur la base de vérifications effectuées par la Commission, au vu de la législation interne ou des engagements internationaux de cet Etat de destination. Ce principe est assorti de dérogations.

En l’espèce, Maximillian Schrems, ressortissant autrichien et utilisateur de Facebook depuis 2008, avait déposé plainte auprès de l’autorité  irlandaise de protection des données, celle-ci étant compétente du fait de l’installation en Irlande des serveurs européens de Facebook.

Dans sa plainte, M. Schrems estimait, à la suite des révélations sur les pratiques des services de renseignements américains (NSA), que le droit et les pratiques des Etats-Unis n’offraient pas une protection suffisante aux données européennes transférées vers ce pays.

Suite au rejet de cette plainte par l’autorité de contrôle irlandaise, M. Schrems a alors introduit un recours devant la Haute Cour de Justice irlandaise afin de contester cette décision. La Haute Cour irlandaise a relevé que les révélations des agissements de la NSA témoignaient de pratiques contraires au droit européen et à la Charte des droits fondamentaux.

Toutefois, la légalité de la décision de l’autorité de contrôle irlandaise devant s’apprécier au regard du droit de l’Union européenne, la Haute Cour irlandaise a donc sursis à statuer et saisi la CJUE d’une question préjudicielle afin de savoir si l’autorité de contrôle nationale saisie était absolument (sic) liée par la décision d’adéquation de la Commission et dans le cas contraire, sur la possibilité que cette autorité mène sa propre enquête.

Répondant à cette question préjudicielle, la CJUE a jugé que l’existence d’une décision d’adéquation de la Commission n’avait pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assurait pas un niveau de protection adéquat et le cas échant de suspendre le transfert des données. Elle a également invalidé la décision de la Commission du 26 juillet 2000 (dite Safe Harbor »).

Dans ce cas précis, il appartiendra donc à l’autorité de contrôle irlandaise de déterminer si les Etats-Unis assurent un niveau de protection adéquat des données personnelles transférées pour autoriser ou non le transfert des données personnelles collectées par Facebook…

Cet arrêt revêt une portée fondamentale en ce qui concerne le droit de la protection des données en Europe, sans même parler de ses conséquences économiques :

1/ En premier lieu, la Cour souligne à nouveau, à la suite de l’arrêt Digital Right Ireland C-293/12 du 8 avril 2014, que la protection du droit fondamental au respect de la vie privée au niveau de l’Union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire. Aux yeux de la Cour, une règlementation qui permettrait aux autorités publiques d’accéder de manière généralisée aux communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée garanti par l’article 7 de la charte des droits fondamentaux. Par ces des deux arrêts successifs, la Cour consacre ainsi le droit à la protection des données personnelles et rappelle au législateur européen la nécessité de prévoir des garanties effectives et concrètes, quitte à remettre en cause l’équilibre législatif et règlementaire européen actuel ;

2/ Il existe ensuite de nombreux éléments d’incertitude quant aux conséquences juridiques liées à l’invalidation de la décision 2000/520/CE.

La Commission européenne réfléchit actuellement aux solutions qui pourraient être dégagées, sans se prononcer à ce stade sur une option en particulier.

La commission des libertés civiles du Parlement européen a noté sa préoccupation le 12 octobre 2015, certains parlementaires estimant qu’un « Safe Harbor bis » ne serait pas suffisant.

Une réunion du groupe G29 (rassemblant les autorités de contrôles nationales) doit également devait également avoir lieu la semaine du 12 octobre 2015 pour faire un premier bilan des conséquences de l’arrêt sur leurs pratiques.

Ce calendrier reste néanmoins largement incertain, alors que la négociation du « paquet protection des données personnelles » n’est pas bouclé et que le lien entre ces dossiers a été souligné, du côté du Parlement européen ;

3/ Par ailleurs, cet arrêt place les autorités de contrôles nationales comme la CNIL dans une situation inédite, la CJUE rappelant le rôle essentiel joué par ces dernières dans le système hérité de la directive 95/46 et notamment le pouvoir qui leur est dévolu de suspendre un transfert de données en cas d’atteinte avérée ou de risques d’atteinte aux droits fondamentaux.

D’autres plaintes de ce type pourraient également être déposées devant des autorités de contrôle nationales, en présence de transferts identiques vers les Etats-Unis, la CNIL, pour sa part, ayant d’ores et déjà souligné sur son site web que les transferts réalisés sur la base du Safe Harbor ne pouvaient plus l’être désormais ;

4/ Enfin, une « zone de turbulences » s’ouvre pour tous les opérateurs transférant des données personnelles vers les Etats-Unis et plus généralement à l’étranger : tel est le cas des entreprises françaises ou européennes utilisant un « cloud » américain, qui, faute de garanties appropriées, pourraient devoir interrompre les transferts.

La future décision de l’autorité irlandaise de suspendre ou non le transfert des données des abonnés européens de Facebook vers les Etats-Unis emportera donc de nombreuses conséquences, pour ces opérateurs, pour les autorités de contrôle nationales comme pour les usagers, les consommateurs et les clients.

Pour preuve supplémentaire, le département du Commerce américain n’a pas manqué de signalé cet arrêt sur son site web et d’indiquer qu’il continuerait à appliquer l’accord, tout en renvoyant les opérateurs vers la Commission européenne et les autorités de contrôle nationales au sujet du suivi de cet arrêt. Si cet arrêt ne va pas entraver l’activité des opérateurs à ce stade du fait des nombreuses dérogations existantes permettant les transferts (consentement, clauses types etc.), il contribue à entretenir un climat de défiance vis-à-vis des Etats-Unis. Et ce, alors qu’aucune solution transitoire ne se dégage ;

5/ Enfin, du fait des principes rappelés par cet arrêt, cette nouvelle étape dans la consécration du droit à la protection des données est également un avertissement lancé aux législateurs nationaux (cf… la loi française relative au renseignement !).

CABINET FOUSSAT, Société d’Avocats, PARIS / BRUXELLES 
[email protected] – Tél. : +33 (0)1 85 08 54 76 / [email protected] – – Tél. : +32 (0)2  318 18 36