Saisie d’une demande préjudicielle, la Cour de Justice de l’Union européenne a constaté, dans un arrêt du 6 octobre (C-362/14), que c’était à tort que la Commission européenne avait reconnu que les Etats-Unis garantissaient un niveau de protection adéquat aux données à caractère personnel transférées depuis l’Union européenne.
La décision 2000/520 de la Commission a été considérée comme invalide. Cette dernière autorisait le transfert de données à caractère personnel depuis les États membres vers des entreprises établies aux États-Unis qui se sont engagées à respecter les principes de la sphère de sécurité.
Suite à l’examen de cette décision par rapport à la directive 95/46 sur le traitement des données à caractère personnel sur la base de laquelle elle a été adoptée, cette dernière lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, la Cour a soulevé les difficultés suivantes: le système d’autocertification mis en place (§§ 79 et ss), les limitations admises quant à l’applicabilité principes énoncés (§§ 84 et ss), la primauté de la législation américaine (§§ 85 et 86) et, partant, les possibles ingérences dans les droits fondamentaux des personnes dont les données à caractère personnel sont ou pourraient être transférées depuis l’Union vers les Etats-Unis (§§87 et ss). Ces écueils ne pouvaient pas permettre à la Commission de conclure que les Etats-Unis assuraient effectivement un niveau de protection adéquat (§§ 67 à 97).
En pratique, la relation UE-USA en la matière n’est pas la seule relation affectée par l’arrêt. En effet, la Suisse se trouve dans une situation comparable à celle de l’Union avec son « U.S-Swiss safe harbor framework ». Une rectification aura donc certainement lieu et, selon l’avis du Préposé fédéral à la protection des données et à la transparence (PFPDT), il semble qu’une « approche coordonnée de la Suisse avec l’Union permettra d’atteindre l’objectif ».
En ce qui concerne les conséquences concrètes de l’arrêt, la Commission, qui était déjà consciente des lacunes avant leur mise en évidence par la Cour la semaine dernière, devra donc entamer une renégociation vu l’enjeu de la question dans les rapports plus larges entre l’Union et les USA. Les déclarations de la Commission dans une communication COM(2013) 846 datant de 2013 (point 3.2) permettent d’ailleurs de supposer qu’une telle renégociation a sans doute déjà été entamée.
Pour les USA et les organisations américaines telles que Facebook, la décision de la Cour de justice n’a pas de force juridique contraignante. On peut, à cet égard, lire l’avis du département du commerce américain, postérieur à l’arrêt de la Cour de justice, déclarant que « le régime « Safe Harbor » allait continuer à être administré ». Néanmoins, de facto, si les entreprises américaines concernées souhaitent bénéficier de la présomption accordée par la directive 95/46 à certaines conditions, des adaptations seront nécessaires.
A ce sujet, il est utile de noter que pour désigner la décision 2000/520, la presse et la doctrine francophone parle de « l’accord Safe Harbor ». Il s’agit en réalité d’une énonciation de « principes de sécurité » relatifs à la protection de la vie privée, appliqués conformément aux orientations fournies par les « questions souvent posées » publiées par le ministère du commerce des Etats-Unis d’Amérique. Contrairement à ce que le terme « accord » laisse penser, lesdits principes résultent d’une concertation et permettent aux organisations américaines qui y ont adhéré de bénéficier de la présomption de garantie de protection adéquate requise pour le transfert des données à caractère personnel en provenance de l’Union européenne. Il nous semble que cette traduction française peut porter à confusion puisqu’il s’agit donc bien d’un acte individuel d’une institution européenne.
Précisons que seul le volet « validité » a été ici soulevé. La demande préjudicielle portait également sur l’interprétation de la directive 95/46. Suite aux révélations de M. Snowden concernant la surveillance de masse aux Etats-Unis, M. Schrems, inscrit sur Facebook, souhaitait que l’autorité de contrôle irlandaise interdise le transfert de ses données à caractère personnel vers les USA. La question était de savoir si la décision de la Commission empêchait cette autorité de contrôle d’exercer ses pouvoirs. La Cour ayant répondu par la négative, M. Schrems verra finalement sa plainte examinée par l’autorité de contrôle irlandaise et cette dernière devra alors déterminer si le transfert des données doit effectivement être suspendu.
Margaux Biermé, "Arrêt Schrems : les principes « Safe Harbor », pas si « safe »", www.ceje.ch, Actualité du 19 octobre 2015