Dernière actualité : Report on the review of AVMSD adopted by the Culture Committee [Lire la suite]
ARTICLE
Safe Harbor invalidé par la CJUE : zone de turbulence pour la protection des données personnelles

Par Eleonore Scaramozzino

Et maintenant ! Comment les entreprises qui opéraient sous le régime du Safe Harbor peuvent-elles procéder pour transférer les données vers les E.U ?

Dans son arrêt du 6 octobre 2015, C-362/14, la CJUE invalide la décision 2000/250 de la Commission européenne relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (Safe harbor) et par les questions souvent posées y afférentes (FAQ), publiés par le ministère du commerce des États-Unis d’Amérique (1). Dans cet accord autorisant le transfert des données personnelles des européens vers les Etats-Unis, la Cour considère que la législation américaine n’assure pas un niveau de « protection adéquate » aux données à caractère personnel, transférées. En outre, elle estime que la Commission a outrepassé ses compétences en restreignant les pouvoirs des autorités de contrôle des Etats membres.

En l’espèce, Max Schrems, utilisateur de Facebook, porte plainte devant l’autorité de protection des données personnelles irlandaise, état du lieu du siège social européen de l’entreprise. Il estime que les données personnelles collectées et traitées par Facebook ne sont pas protégées et exposées aux services de renseignement américains en raison du Safe Harbour. Cet accord était censé garantir que les données des européens étaient protégées à un niveau adéquat lorsqu\\\\\\\\\\\\\\\'elles étaient stockées outre-Atlantique, conformément à la directive 95/46/CE sur le traitement des données à caractère personnel (2), qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Toujours selon la directive, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. Considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États-Unis (en particulier la National Security Agency ou « NSA »), le requérant estimait que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays.

L’autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 2000, la Commission a considéré que, dans le cadre du régime dit de la « sphère de sécurité (Safe Harbor), les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées. Saisie de l’affaire, la High Court of Ireland (Haute Cour de justice irlandaise) a posé une question préjudicielle à la CJUE pour savoir si cette décision de la Commission a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.

La Cour rappelle que la Commission était tenue de constater que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte.

En l’absence de définition, la Cour précise que l’expression «niveau de protection adéquat» doit être comprise comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte. La Cour relève que la Commission n’a pas opéré un tel constat, et qu’elle s’est bornée à examiner le régime de la sphère de sécurité. Or, sans qu’il y ait besoin, pour la Cour, de vérifier si ce régime assure un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union, la Cour relève que celui-ci est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises. En outre, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences. Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences.
Une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée, selon la Cour, comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé.

La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission [Communication de la Commission au Parlement européen et au Conseil, intitulée « Rétablir la confiance dans les flux des données entre l’Union européenne et les États-Unis d’Amérique » (COM(2013) 846 final, 27 novembre 2013) et communication de la Commission au Parlement et au Conseil relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l’Union et des entreprises établies sur son territoire (COM(2013) 847 final, 27 novembre 2013)], d’où il ressort notamment que les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. En effet, dans sa communication, la Commission a fait état de ce que «toutes les entreprises participant au programme PRISM [programme de collecte de renseignements à grande échelle], qui permettent aux autorités américaines d’avoir accès à des données stockées et traitées aux États-Unis semblent être certifiées dans le cadre de la sphère de sécurité» et que celle-ci «est donc devenue l’une des voies par lesquelles les autorités américaines du renseignement ont accès à la collecte des données à caractère personnel initialement traitées dans l’[Union]». À cet égard, elle a observé, «qu’un certain nombre de bases juridiques prévues par la législation américaine permettent la collecte et le traitement à grande échelle des données à caractère personnel stockées ou traitées par des sociétés établies aux États-Unis» et que «[c]es programmes étant à grande échelle, il est possible que les données transférées dans le cadre de la sphère de sécurité soient accessibles aux autorités américaines et traitées par celles-ci au-delà de ce qui est strictement nécessaire et proportionné à la protection de la sécurité nationale, comme le prévoit l’exception énoncée dans la décision [2000/520]».
Enfin, la Cour constate que la décision de la Commission du 26 juillet 2000 prive les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. Ainsi, même en présence d’une décision de la Commission, les autorités nationales de contrôle, saisies d’une demande, doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive. La Cour considère que la Commission n’avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle.

Les conséquences de l’invalidité du « Safe Harbour »

Les solutions alternatives au cadre juridique simplifié : les risques de multiplication de contrats spécifiques

Il en résulte que Facebook peut continuer à fonctionner comme il le faisait jusqu’à aujourd’hui, mais ne peut plus s’abriter, en cas de procédure, derrière le fait qu’elle fait partie du Safe Harbor et que ses flux de données entre l’U.E et l’E.U sont présumés légaux. Facebook affirme en fait ne pas s’appuyer uniquement sur le Safe Harbor, mais « sur d’autres méthodes recommandées par l’Union européenne pour transférer légalement des données de l’Europe vers les Etats-Unis ». Il existe d’autres solutions alternatives, comme les « clauses contractuelles type » ou les « règles internes d’entreprise » (dans le cas de transfert de données entre filiales), le Safe Harbor étant le cadre juridique simplifié et « par défaut ».

Facebook, Google, Apple Amazon ne sont pas les seuls à stocker des données personnelles aux États-Unis. Il y a plusieurs milliers de sociétés qui participent au «programme» Safe harbor, notamment des multinationales dont les ressources humaines sont implantées aux États-Unis. Environ 4000 entreprises bénéficiaient du régime du Safe Harbor accordé aux Etats-Unis. Les solutions alternatives dont les clauses contractuelles ou de règles internes d’entreprises se révèlent coûteuses pour les entreprises.
La CNIL va prochainement rencontrer ses homologues au sein du G29 afin de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ».

La Commission craint que la décision de la CJUE ne favorise la multiplication de contrats spécifiques établis entre des entreprises et des pays européens, au détriment d’un cadre générique européen. Frans Timmermans, le vice-président de la Commission, a d’ailleurs annoncé que des « lignes directrices » à destination des autorités de protection des données seraient publiées afin d’éviter un « patchwork avec des décisions nationales ».

La nécessité de renégocier l’accord

Dans un communiqué, l’association professionnelle Digital Europe, qui regroupe tous les grands acteurs du secteur (d’Apple à Toshiba en passant par Google, à l’exception de Facebook), « demande de toute urgence à la Commission européenne et au gouvernement américain de conclure leurs négociations pour parvenir à un nouvel accord “Safe Harbor” aussi vite que possible ». « Nous demandons également à la Commission européenne d’expliquer immédiatement aux entreprises qui fonctionnaient sous le régime du Safe Harbor comment elles doivent opérer pour maintenir leurs activités essentielles durant ce vide juridique », poursuit l’association.

Pour Věra Jourová, commissaire européenne à la Justice, aux Consommateurs et à l\\\\\\\\\\\\\\\'Égalité des genres, l’attitude de la Commission doit rester concentrée sur trois objectifs principaux : « la protection des données personnelles des citoyens européens, la garantie des flux de transferts de données, qui sont l’épine dorsale de notre économie, et la mise en place d’un nouveau cadre afin d’apporter des réponses aux autorités nationales que notre réponse soit coordonnée. ». La Commission rappelle évidemment avoir revu en 2013 le Safe Harbor en réexaminant l’accord à la lumière des révélations faites par Edward Snowden. « Nous allons continuer la renégociation de cet accord en nous appuyant notamment sur cet arrêt », poursuit la commissaire européenne. Cependant, il semble difficile d’obtenir rapidement un accord, compte tenu que la CJUE a remis en cause la réglementation américaine en ce qu’elle n’offre pas de garanties de protection de la vie privée comparables à celles en vigueur au sein de l’UE.

(1) Décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (Safe harbor) et par les questions souvent posées y afférentes (FAQ), publiés par le ministère du commerce des États-Unis d’Amérique (JO 2000, L 215, p. 7)
(2) Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31)

Mentions légales | Réalisation site : Opium Bleu