La protection des données et de la vie privée sont des droits fondamentaux. Rappelons que les transferts de données vers un pays tiers sont par principe interdits ; certaines exceptions au titre desquelles la reconnaissance par la Commission ou par un Etat membre d’un « niveau de protection adéquat » dans le pays destinataire, permettent néanmoins aux entreprises de transférer les données. Tel était l’objet depuis 2000 de l’accord de Safe Harbor qui autorisait une organisation américaine à autocertifier au ministère américain du commerce qu’elle adhérait aux principes de protection des données listés dans l’accord.
Plus de 4000 entreprises sont référencées Outre Atlantique sur la liste de la « sphère de sécurité ».
A la suite des révélations d’Edward Snowden et de bien d’autres auparavant sur les pratiques de surveillance de masse de la NSA, il est clairement apparu que des entreprises américaines certifiées ne respectaient pas les principes de protection des données objets de la « Sphère de Sécurité ». En outre, il est apparu que cet accord servait également d’interface pour le transfert de données de citoyens européens vers les États-Unis, par les entreprises qui sont tenues de remettre des données aux agences américaines de renseignement.
La CJUE devait donc répondre à la question de la Haute Cour de Justice irlandaise sur le point de savoir si elle était liée par la constatation effectuée par la Commission dans sa décision sur l’accord de Safe Harbor, selon laquelle les États-Unis d’Amérique assurent un niveau de protection adéquat.
La décision précise que tant que la décision de la Commission qui bénéficie d’une présomption de légalité n’a pas été remise en cause par la Cour de Justice de l’UE, les CNIL européennes n’ont d’autre choix que de s’y conformer. Cependant ceci ne saurait empêcher les personnes concernées de saisir une autorité de contrôle nationale afin d’examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par ladite directive et particulièrement de vérifier si la protection est équivalente et effective. La Cour constate en l’espèce que la finalité du transfert n’a pas été respectée, que les droits des personnes ne sont pas garantis et que l’accord n’est pas toujours appliqué.
Tel était bien l’objet de la réclamation de Max Schrems auprès de l’autorité de protection des données Irlandaise dans un litige relatif au transfert de données personnelles des utilisateurs de Facebook vers les USA.
Cette décision vient donc confirmer que les CNIL européennes ont le pouvoir de faire respecter le droit à la protection des données garanti par la Charte des droits fondamentaux de l’UE et par la directive 95/46/CE.
Et maintenant ? Comment faire face à ce vide juridique ?
Les entreprises américaines concernées n’ont d’autre choix que de recourir aux clauses contractuelles types ou éventuellement aux règles internes de groupe (BCR) ; le consentement ne peut en effet servir de base légale à des transferts réguliers et massifs de données.
Les entreprises européennes qui recourent à des sous-traitants et prestataires américains devront redoubler d’attention sur les garanties juridiques offertes par ces derniers. Rappelons en effet que le responsable de traitement doit veiller à la conformité des transferts vers des destinataires américains en l’occurrence.
La CJUE précise que les autorités nationales de contrôle doivent assurer un juste équilibre entre, d’une part, le respect du droit fondamental à la vie privée et, d’autre part, les intérêts qui commandent une libre circulation des données à caractère personnel. Aussi la Commission a dit que des « lignes directrices » à destination des autorités de protection des données seraient publiées afin d’éviter un « patchwork avec des décisions nationales ». De même le G29 s’attachera à encourager une approche uniforme afin d’éviter toute fragmentation.
Cette décision signifie aussi que d’autres décisions de la Commission concernant la reconnaissance d’un niveau de protection adéquat, pourraient faire l’objet de recours par les citoyens européens…
