Transferts de données vers les Etats-Unis : la fin du Safe Harbor.

La décision fait l’effet d’un coup de tonnerre : la Cour de justice de l’Union européenne (CJUE), dans son arrêt du 6 octobre 2015, a suivi les conclusions rendues par l’Avocat général Yves Bot. Dans cette affaire C-361/14, les juges ont d’abord reconnu qu’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat, ne pouvait avoir pour effet d’empêcher les personnes dont les données personnelles étaient transférées vers ce pays, de saisir les autorités nationales de contrôle d’une demande relative à la protection de leurs droits et libertés à l’égard du traitement de ces données.

Par ailleurs, et c’est sur ce point que se focalise plus particulièrement l’attention médiatique, les juges ont conclu à l’invalidité de la décision 2000/520 de la Commission européenne relative à la pertinence de la protection assurée par les principes de la "sphère de sécurité", plus connue sous le nom de "Safe Harbor".

Tout débute avec la plainte d’un utilisateur de Facebook devant le Commissaire irlandais à la Protection des Données, introduite en raison de la conservation par Facebook Ireland Ltd des données de ses abonnés citoyens de l’Union sur des serveurs situés aux Etats-Unis. Cette plainte faisait suite aux révélations d’Edward Snowden concernant le programme "PRISM" dans le cadre duquel la NSA aurait obtenu un libre accès aux données de masse stockées sur les serveurs situés aux Etats-Unis.

Le Commissaire irlandais a rejeté cette plainte, estimant qu’il était tenu, en vertu de la loi irlandaise, de régler celle-ci en conformité avec les constatations de l’Union, en l’occurrence la décision 2000/520 : la nature et l’existence même de cette décision, constatant le caractère adéquat de la protection accordée par la "sphère de sécurité", empêchait selon le Commissaire la conduite d’une enquête sur ce point.
Saisie d’un recours contre cette décision de rejet, la Haute Cour de justice irlandaise a soulevé devant la CJUE deux questions préjudicielles : en cas de soupçon de violation des droits fondamentaux des citoyens de l’UE [1] lié au transfert de données personnelles vers les Etats-Unis, le Commissaire est-il absolument lié par une décision de l’Union constatant l’existence d’une protection adéquate ? Dans le cas contraire, peut-il ou doit-il mener sa propre enquête ?

A ces questions, la Cour répond clairement qu’une décision de la Commission Européenne ne peut annihiler, ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle [2] . Les autorités nationales de contrôle peuvent ainsi examiner en toute indépendance le transfert de données, pour déterminer s’il respecte les exigences posées par la directive. Que la demande soit rejetée ou admise par l’autorité nationale, la possibilité d’un recours devant les juridictions nationales doit être préservée. Ainsi le demandeur, ou l’autorité nationale doivent pouvoir disposer de voies de recours effectives. Si les juridictions nationales estiment que les moyens sont fondés, elles devront surseoir à statuer et faire un renvoi préjudiciel devant la CJUE, seule compétente pour examiner la validité d’une décision de la Commission européenne.

Alors que la question ne lui était pas expressément posée, la CJUE décide d’examiner d’office la validité de la décision 2000/520, suite aux conclusions de l’Avocat général qui allaient en ce sens, en soulignant que la plainte visait en réalité à mettre en cause directement la protection accordée par la "sphère de sécurité".
Les juges soulèvent de nombreux motifs pour étayer l’invalidation de la décision 2000/520.

Tout d’abord une décision de la Commission européenne autorisant le transfert de données vers un pays tiers, ne peut être figée dans le temps. La possibilité pour la Commission européenne de constater qu’un pays tiers assure un niveau adéquat de protection des données personnelles [3] – permettant ainsi leur transfert vers cet Etat – implique que ce pays tiers offre un niveau de protection substantiellement équivalent à celui offert par le droit de l’Union, et que ce niveau se maintienne dans la durée. La Commission avait constaté ces derniers temps, des atteintes multiples à la protection des données personnelles, sans pour autant en tirer de conséquences.

Par ailleurs, les juges constatent que le texte même de la décision est invalide, puisque selon ses dispositions, les exigences relatives à la sécurité nationale, à l’intérêt public, et au respect des lois américaines l’emportent sur le régime de la sphère de sécurité, et ce sans limitation, et sans critère objectif, permettant ainsi des ingérences par les autorités publiques dans les droits fondamentaux des personnes dont les données sont traitées. Les juges précisent ainsi qu’une « réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ».

Enfin, les juges soulignent l’absence de possibilité pour le justiciable d’exercer des recours via ses droits d’accès, de rectification, ou de suppressions de telles données, ce qui « porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l’existence d’un Etat de droit ».

Cet arrêt aura de lourdes conséquences dans le cadre des transferts de données personnelles vers les Etats-Unis. La question d’une mise en conformité des transferts d’ores et déjà entrepris sur la base du "Safe Harbor" se pose désormais. Il convient de noter que plus de 3000 sociétés américaines ont adhéré au Safe Harbor. Il leur faudra impérativement revoir leur stratégie de conformité au droit européen si elles entendent continuer à traiter des données en provenance de l’Union Européenne. Les solutions envisageables pourraient consister dans la mise en œuvre d’une politique contractuelle contraignante, telles que les clauses contractuelles types, ou les « Binding corporate rules » pour les multinationales.

Anne-Laure Villedieu,
avocat associé et
Julie Tamba, avocat,
CMS Bureau Francis Lefebvre

Notes

[1Articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne, relatifs respectivement au respect de la vie privée, à la protection des données à caractère personnel et au droit à un recours effectif.

[2Article 8, paragraphe 3 de la Charte des droits fondamentaux de l’Union européenne, et article 28 de la directive de 95.

[3Sur la base de l’article 25 paragraphe 6 de la Directive 95/46/CE.