La décision du 26 juillet 2000 de la Commission, constatant que les Etats-Unis respectent la « Sphère de sécurité », est annulée. L’autorité irlandaise de contrôle est tenue d’examiner s’il faut suspendre le transfert des données des abonnés européens de Facebook vers les Etats-Unis, au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles.

La saisine

La Cour a été saisie d’un contentieux examiné par la High Court of Ireland. Celle-ci a posé une question préjudicielle aux fins de savoir si la décision de la Commission empêche une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, si nécessaire, de suspendre les transfert de données. Suite à l’affaire « PRISM », Maximilian Schrems, citoyen autrichien, se plaint du transfert de ses données à partir de la filiale irlandaise de Facebook vers les serveurs de l’entreprise situés aux Etats-Unis. L’autorité irlandaise de protection des données ne donne pas suite en s’appuyant sur la décision de la Commission n°2000/520 du 26 juillet 2000 qui considère que les Etats-Unis respectent les principes de la « Sphère de sécurité », alors même que la protection des données à caractère personnel n’est pas garantie selon les mêmes règles par le droit américain.

Le dispositif de l’arrêt

Selon l’avocat général Yves Bot[1], « l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la directive sur le traitement de données à caractère personnel[2] ». S’agissant des Etats-Unis, il ajoute que «l’accès dont disposent les services de renseignement américains aux données transférées est constitutif d’une ingérence dans le droit au respect de la vie privée ».

La CJUE fait siennes les conclusions de l’avocat général. Pour la juridiction, la Commission n’a pas constaté que le niveau de protection accordé par les Etats-Unis était équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte. En particulier, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des Etats-Unis l’emportent sur le régime de la « sphère de sécurité », ce qui oblige les entreprises américaines d’en écarter les règles dans de telles hypothèses. La Cour observe que la réglementation n’est pas limitée au strict nécessaire dès lors qu’elle autorise de manière généralisée, sans différenciation, limitation ou exception, sans possibilité d’exercer des voies de recours, la conservation de toutes les données à caractère personnel de toutes les personnes qui sont transférées de l’Union vers les Etats-Unis. En conséquence, elle annule la décision du 26 juillet 2000 de la Commission, constatant que les Etats-Unis respectent la « Sphère de sécurité ».

L’arrêt de la CJUE est une retombée supplémentaire des révélations d’Edward Snowden. Plus de 4000 entreprises américaines implantées en Europe sont concernées par ses conséquences. Tout en étant salué par les défenseurs des droits de l’internaute, il inquiète les milieux économiques, notamment les PME. Celles-ci ne disposent pas, en effet, de services juridiques suffisamment étoffés pour établir des clauses contractuelles type ou des règles internes d’entreprises prévoyant, hors du « Safe harbor », le transfert de données.

L’arrêt « Maximilian Schrems » va sans doute avoir pour première conséquence une accélération des renégociations du « Safe harbor » et d’imposer le maintien sur le territoire de l’UE des données personnelles des ressortissants européens. Il renforce le rôle des autorités de contrôle indépendantes, comme la CNIL, dont les compétences devraient être élargies par la future loi « République numérique » portée par Axelle Lemaire. Il doit incontestablement inspirer la finalisation du règlement européen relatif à la protection des données.

Références:

[1] curia.europa.eu, conclusions de l’avocat général dans l’affaire C-362/14 Maximilan Schrems/Data Protection Commissioner.

[2] Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.