Protection des données à caractère personnel : les Etats-Unis n’assurent pas un niveau de protection adéquat
22Arrêt du 6 octobre 2015 de la Cour de Justice de l’Union Européenne, Schrems/Data Protection Commissioner (C-362/14)
Dans l’affaire C-362/14 Schrems/Data Protection Commissioner du 6 octobre 2015, la Cour a déclaré invalide la décision « Safe Harbor » 2000/520/CE de la Commission européenne constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées à partir de l’Union Européenne.
En l’espèce, M. Schrems, citoyen autrichien, utilise Facebook depuis 2008. Les données fournies par tout utilisateur à Facebook sont transférées en tout ou partie, à partir de la filiale irlandaise de Facebook, sur les serveurs situés sur le territoire des Etats-Unis, où elles font l’objet d’un traitement. M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle irlandaise, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États-Unis, le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays. L’autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 2000, la Commission européenne avait considéré que, dans le cadre du régime dit de la «sphère de sécurité», les États-Unis assuraient un niveau adéquat de protection aux données à caractère personnel transférées. Saisie de l’affaire, la High Court of Ireland (Haute Cour de justice irlandaise) a souhaité savoir si cette décision de la Commission de 2000 avait pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.
Saisie d’un renvoi préjudiciel par la High Court of Ireland, la Cour de Justice de l’UE a d’une part interprété la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et, d’autre part, apprécié la validité de la décision 2000/520/EC de la Commission. Cette décision attribuait aux autorités américaines le pouvoir de contrôler le respect, par les entreprises établies sur leur territoire, des dispositions relatives à la protection des données privées prévues par la Directive 95/64 dans le cadre du transfert des données des utilisateurs établis dans l’Union européenne vers des serveurs établis aux Etats-Unis.
La Cour a jugé la décision de la Commission invalide.
Tout d’abord, la Cour, estime que les autorités nationales de contrôle saisies d’une demande peuvent, même en présence d’une décision de la Commission constatant qu’un pays tiers offre un niveau de protection adéquat des données personnelles, examiner si le transfert des données d’une personne vers ce pays respecte les exigences de la législation de l’Union relative à la protection de ces données (en l’occurrence la directive 95/64). De même, selon la Cour, les autorités nationales de contrôle peuvent saisir les juridictions nationales, au même titre que la personne concernée, afin qu’elles procèdent à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision (points 38 à 66 de l’arrêt).
Ensuite, la Cour annule la décision 2000/520/EC de la Commission pour les motifs suivants :
- Atteinte au contenu essentiel du droit fondamental au respect de la vie privée : la réglementation américaine n’est pas limitée au strict nécessaire dès lors qu’elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes sans qu’aucune différenciation, limitation ou exception ne soient opérées ; (point 93 à 94)
- Atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective : la réglementation américaine ne prévoit aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant ou d’obtenir la rectification ou la suppression de telles données ; (point 95) et
- Absence de compétence de la Commission pour restreindre les pouvoirs des autorités nationales de contrôle (points 99 à 104)
Par conséquent, selon la Cour, l’autorité irlandaise de contrôle est tenue d’examiner la plainte de M. Schrems avec toute la diligence requise et il lui appartient, au terme de son enquête, de décider s’il convient en vertu de la directive 94/65 de suspendre le transfert des données des abonnés européens de Facebook vers les Etats-Unis au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles.
Suite à cet arrêt et à l’annulation de la décision « Safe Harbour », la Commission européenne a publié, le 6 novembre 2015, des orientations sur les transferts de données transatlantiques et appelle à la mise en place rapide d’un nouveau cadre juridique en ligne avec l’arrêt rendu par la Cour de Justice de l’Union européenne dans l’affaire Schrems. Les orientations décrivent les options possibles pour les transferts de données transatlantiques afin d’aider les entreprises à respecter l’arrêt et à recourir, si possible, à des instruments de transfert alternatifs. Par ailleurs, la Commission s’est engagée à continuer et à finaliser un nouvel accord avec les Etats-Unis, dans les trois prochains mois. Ce nouvel accord devra respecter les contraintes établies par la CJUE notamment en ce qui concerne les limitations et les garde-fous applicables à l’accès aux données personnelles par les autorités américaines.
