Par un arrêt en date du 6 octobre 2015, la Cour de Justice de l’Union Européenne, vient de mettre fin au règne de la très célèbre décision n°2000/520 de la Commission Européenne dite « Safe Harbor » en matière de protection de données personnelles.

Pour rappel, la décision précitée offrait la possibilité à un prestataire, situé sur le territoire de l’Union Européenne de transférer des données à caractère personnelles dans un pays tiers, « sans que des garanties supplémentaires soient nécessaires », dès lors qu’un tel pays assurait « un niveau de protection adéquate ».

Aux termes du considérant 5 de cette décision, un tel niveau pouvait être reconnu dans le cadre d’un transfert de données de l’Union Européenne vers les Etats Unis, dès lors qu’étaient respectés les principes de « la sphère de sécurité relatifs à la protection de la vie privée » et que chaque organisation en charge du traitement de ces données divulguait leurs règles de confidentialité et relevait de la compétence de la « Federal Trade Commission ».

La Haute juridiction communautaire a toutefois jugé, à l’aune des principes fondateurs du droit de l’Union Européenne, que « la décision n° 2000/520 est invalide », affirmant de nouveau son rôle de gardienne en matière de transfert des données à caractère personnel et confiant aux autorités nationales un véritable pouvoir de contrôle en la matière.

1. Les conditions de la saisine de la CJUE.

Dans les faits, un ressortissant autrichien a, dans le cadre de l’utilisation de son compte « Facebook » conclu lors de son inscription un contrat avec la société Facebook Ireland, filiale de la société Facebook Inc., établie aux Etats-Unis.

Aux termes de ce contrat, il est stipulé que les données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union Européenne sont, en tout ou partie, transférées vers des serveurs dont la société Facebook Inc. est titulaire sur le territoire nord-américain, où elles font l’objet d’un traitement.

Ayant eu connaissance de ces stipulations, l’internaute a saisi la Commission Informatique irlandaise d’une plainte aux termes de laquelle celui-ci sollicitait qu’il soit fait interdiction à la société Facebook Ireland de transférer des données à caractère personnel vers les Etats-Unis.

Cette plainte était notamment fondée sur le fait que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées.

La Commission Informatique irlandaise a toutefois rejeté la plainte aux motifs que le plaignant ne justifiait pas de la défaillance des modes de protection mis en œuvre par les Etats Unis et que cette question devait être appréciée à l’aune de la décision de la Commission Européenne n° 2000/520 ayant constaté que les organes de cet état assuraient un niveau de protection adéquate.

L’internaute a dès lors introduit un recours devant la High Court Irlandaise à l’encontre de cette décision.

La Haute juridiction locale a constaté que « la surveillance électronique et l’interception des données à caractère personnel transférées depuis l’Union vers les Etats-Unis répondaient à des finalités nécessaires et indispensables à l’intérêt public ».

Il a toutefois été constaté que les services de renseignement et les organes fédéraux procédaient à des actions de supervision dans le cadre d’une procédure secrète et non contradictoire.
Dès lors, le transfert de données à caractère personnel transférées vers les Etats-Unis permettrait aux organes fédéraux tels que la NSA ou encore le FBI d’accéder à de telles données « dans le cadre de la surveillance et des interceptions indifférenciées qu’ils pratiquent à grande échelle » (point 31).

Or, l’accès général et important de données à caractère personnel en l’absence de toute surveillance ciblée serait contraire au principe de proportionnalité et serait susceptible de porter atteinte, en l’absence de « garanties adéquates et vérifiables », aux droits fondamentaux protégés par la Constitution irlandaise.

Dès lors et compte tenu de « l’existence d’un doute sérieux » sur le fait que les Etats-Unis d’Amérique assurent un niveau de protection adéquat des données à caractère personnel, la Commission irlandaise « aurait dû procéder à une enquête sur les faits dénoncés ».

La High Court considère que la légalité de la décision de la Commission informatique doit s’apprécier au regard du droit de l’Union Européenne.

De ce fait, la juridiction irlandaise considère que la décision 2000/520 ne satisfait pas aux exigences des principes découlant de la Charte de L’union Européenne et plus spécifiquement des articles 7 et 8 relatifs à la vie privée et à la protection des données personnelles.

Dans ces conditions, il a été décidé de surseoir à statuer afin d’interroger la CJUE sur deux points précis :

 Un commissaire indépendant chargé d’appliquer la législation sur la protection des données est –il lié par la décision 2000/520 dès lors qu’il est saisi d’une plainte soutenant qu’un transfert de données vers les Etats-Unis n’offre pas un niveau de protection adéquate à la personne concernée ?

 Dans l’hypothèse inverse, « peut-il ou doit-il » mener des investigations pour s’assurer qu’un tel transfert de données à caractère personnel garantie un niveau de protection adéquat ?

2. Sur les pouvoirs de contrôle laissés à la disposition des autorités nationales.

Dans le cadre des deux questions préjudicielles soumises à ses observations, la Cour de Justice ne manque pas de rappeler préalablement le rôle prépondérant des autorités nationales en charge du contrôle des données à caractère personnel.

La Haute juridiction communautaire rappelle en effet que l’article 28 § 1 de la directive 95/46 ainsi que l’article 8 §3 de la Charte de l’union européenne imposent aux Etats membres de créer une ou plusieurs autorités « chargées de contrôler en toute indépendance, le respect des règles de l’Union relatives à la protection des données des personnes physiques à l’égard du traitement de telles données ».

En vertu de ces règles, chaque autorité nationale est donc « investie » d’un pouvoir de contrôle sur les transferts de données à caractère personnel depuis l’état membre dont elle relève vers un état tiers afin de s’assurer que le traitement réservé respectera les exigences de protection adéquate.

Ainsi et après avoir rappelé qu’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat revêtait « un caractère contraignant » pour tous les Etats membres, la CJUE considère toutefois qu’une telle décision ne saurait pour autant empêcher les personnes dont les données à caractère personnel ont été transférées de saisir les autorités nationales de contrôle afin sauvegarder leurs droits et libertés fondamentales.

Dès lors et même en présence d’une décision de la Commission constatant qu’un pays tiers offre un niveau de protection adéquat, les autorités nationales saisies d’une demande relative à la protection des droits et libertés dans le cadre d’un traitement de données à caractère personnel « doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par ladite directive » (point 57).

Ce faisant, la Cour de justice rappelle que dès qu’un transfert de données personnelles vers un pays tiers risque de porter atteinte aux droits et libertés d’une personne, cette dernière peut saisir l’autorité nationale afin qu’elle procède à un examen de ses demandes « avec toute la diligence requise » (point 63).

La haute juridiction communautaire confie ainsi aux autorités de chaque Etat membre un véritable pouvoir de contrôle et de régulation de chaque demande relative à une atteinte à un droit ou à une liberté fondamentale perpétrée par un transfert de données à caractère personnel dans un pays tiers.

Deux hypothèses sont alors émises par la Cour de Justice :

 Ainsi, pour le cas où l’autorité nationale considérerait que la demande est dépourvue de fondement, la partie plaignante doit bénéficier de toutes les voies de recours lui permettant de contester une telle décision devant les juridictions nationales.

Ces juridictions nationales devront toutefois surseoir à statuer et saisir la CJUE dès lors que les moyens d’invalidité soulevés par les parties leurs paraissent fondés.

 Pour le cas où l’autorité nationale estimerait les demandes de la partie plaignante fondées, ladite autorité devrait « à la lumière de l’article 8, paragraphe 3 de la Charte  » pouvoir ester en justice afin de faire valoir les griefs soulevés devant les juridictions nationales, lesquelles pourront procéder le cas échéant à un renvoi préjudiciel.

La CJUE rappelle ainsi que le seul fait que la Commission puisse constater qu’un pays tiers assure un niveau de protection adéquat ne suffit pas à satisfaire aux principes posés par la Charte de l’Union Européenne et ne saurait dispenser une autorité nationale d’effectuer un examen rigoureux d’une demande émanant d’une personne estimant que le pays vers lequel ses données sont transférées n’assure pas un tel niveau de protection.

3. Sur l’appréciation de la validité de la décision n° 2000/520 au regard des principes fondamentaux de l’Union Européenne.

La CJUE s’intéresse dans un second temps à la notion même de « protection adéquate », laquelle n’est pas définie à l’article 25 §2 de la directive 95/46.

La Cour rappelle en effet que l’article précité se contente d’énumérer de façon non exhaustive, les circonstances devant être prises en considération dans le cadre d’une telle appréciation.

Dès lors, la Haute juridiction prend soin de rappeler que le niveau de protection adéquat d’un pays tiers d’apprécie « en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes ».

Dès lors, cette expression doit s’entendre comme un niveau de protection des libertés et droits fondamentaux « substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte ».

A défaut d’assurer une telle exigence, il ne saurait y avoir de niveau adéquat.

C’est donc à l’aune de cette définition que la CJUE va alors procéder à un examen rigoureux de la décision rendue par la Commission Européenne le 25 juillet 2000, tout en rappelant qu’eu égard au nombre important de personnes dont les droits fondamentaux sont susceptibles d’êtres violés dans le cas d’un transfert de données à caractère personnel, le pouvoir d’appréciation de la Commission en matière de protection adéquate d’un pays tiers s’avérait désormais « réduit ».

C’est au regard du niveau (i), de la portée (ii), mais également de la proportionnalité des dérogations à la protection accordée (iii) que la Cour a pu juger de la validité de la décision rendue par la Commission.

(i). Sur le niveau de protection accordée par les institutions américaines
Lors de l’examen de cette décision, la Cour a examiné la fiabilité du niveau adéquat de protection assurée par les institutions américaines dans le cadre d’un transfert de données et notamment le principe dit de « la sphère de de sécurité ».

La haute juridiction constate que la présomption de niveau adéquat prévu par la décision n° 2000/520 s’applique uniquement aux organisations américaines auto certifiées, lesquelles s’engagent à mettre en œuvre des mécanismes de détection et de contrôle efficaces permettant de sanctionner d’éventuelles atteintes aux droits fondamentaux d’une personne.

Or, les autorités publiques américaines ne sont pas soumises au respect des mesures imposées par le principe de la « sphère de de sécurité », de sorte qu’il n’est pas possible de s’assurer que les garanties imposées dans le cadre d’un niveau de protection adéquat soient réellement remplies.

En outre, la Cour rappelle que l’article 2 de la décision de la Commission se contente d’indiquer qu’un niveau de protection adéquat est assuré aux Etats-Unis par les principes de la « sphère de de sécurité » sans pour autant indiquer les mesures par lesquelles cet Etat parvient à assurer un tel niveau au regard de sa législation interne ou de ses engagements internationaux.

(ii). Sur la portée de la protection

La CJUE constate que la décision rendue par la Commission Européenne ne fait pas mention d’une protection juridique « efficace » à l’échelle Etatique permettant de limiter les atteintes aux droits fondamentaux des personnes dont les données à caractère personnel sont transférées.
La Cour se réfère d’ailleurs à l’appréciation de la Commission Européenne, laquelle avait constaté qu’il n’existait pas au jour de la décision des « voies de droit administratives ou judiciaires permettant, notamment, d’accéder aux données (…) et, le cas échéant, d’obtenir leur rectification ou leur suppression » (point 90).

Or, la Charte de l’Union Européenne prévoit en ses articles 7 et 8 des garanties permettant de protéger efficacement les données contre tout risque d’abus ainsi que contre « tout accès et toute utilisation illicites de ces données ».

La haute juridiction considère que de telles garanties sont d’autant plus indispensables que les données à caractère personnel sont soumises à un traitement automatique et « qu’il existe un risque important d’accès illicite à ces données ».

(iii). Sur la limitation des dérogations au principe de protection des données

Au regard de sa jurisprudence, la Cour rappelle que la protection du droit fondamental au respect de la vie privée au niveau de l’Union Européenne exige que des dérogations « à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire » (arrêt Digital Rights Ireland C-293/12).

Or, une réglementation permettant aux autorités publiques d’accéder de manière « généralisée » au contenu des communications électroniques de personnes sans qu’aucun accès, ni utilisation par ces autorités ne soit précisément délimité, porte atteinte aux droits fondamentaux garantie par la Charte de l’Union.

C’est donc au regard de l’ensemble de ses observations que la Cour de Justice jugea en une phrase simple, mais tellement riche de sens, que « la décision 2000/520 est invalide ».
Une phrase courte à l’effet papillon.

La CJUE explique désormais que le principe du Safe Harbor n’est plus, faute pour lui de garantir une protection conforme au droit communautaire.

Dès lors, tout prestataire désirant transférer des données personnelles vers les Etats-Unis devra impérativement respecter un niveau de protection « substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte ».

Il appartiendra par conséquent à chaque autorité de contrôle nationale d’apprécier le niveau de protection des données personnelles dans chaque état.

En pratique, les sociétés stockant des données de personnes situées sur le territoire de l’Union Européenne aux Etats-Unis ne pourront plus se prévaloir du Safe Harbor pour tenter d’échapper à une demande judiciaire de communication de données à titre personnel.

Néanmoins, il convient de relativiser l’impact de cette décision pour les entreprises ayant intégré des Binding Corporate Rules (BCR), lesquelles sont approuvées par la CNIL et permettent de définir un niveau de protection satisfaisant hors de l’union européenne.

Celles n’ayant pu bénéficier de telles clauses devront toutefois procéder à un audit juridique précis de leur transfert de données en vue de palier le vide juridique laissé par cette décision.
La CNIL devrait très prochainement rencontrer les autorités nationales en charge du contrôle des données personnelles afin de déterminer les conséquences pratiques d’une telle décision.

Jonathan ELKAIM - Avocat au Barreau de Paris

Comentaires:

• 
  Sans titre, Anne Marie d, 12 octobre 2015

  Commentaire precis et detaille de cette importante decision. Merci