Par une décision en date du 6 octobre 2015, la CJUE a invalidé le Safe Harbor, dispositif juridique qui régit les flux de données personnelles entre l’Europe et les Etats-Unis depuis quinze ans.
Pour rappel, à moins que l’une des exceptions prévues par la directive 95/46/CE ne s’applique, seuls les transferts de données à caractère personnel d’un État membre de l’Union Européenne vers un pays tiers assurant un niveau de protection suffisant sont autorisés. Selon la Commission Européenne, seuls les pays suivants remplissent cette condition : Andorre, Argentine, Canada, Iles Féroé, de Man, de Guernesey, de Jersey, Israël, Uruguay, Suisse et Nouvelle Zélande.
Concernant les Etats-Unis, un accord dit de Safe Harbor a été signé entre la Commission européenne et les Etats-Unis le 26 juillet 2000 (décision 2000/520/CE), permettant aux sociétés américaines de procéder à des flux transfrontières de données entre les deux continents dès l’instant qu’elles adhèrent aux principes de cet accord, par auto-certification, auprès du département du Commerce américain.
Très controversé, cet accord a notamment été mis à mal par les révélations d’Edward Snowden, en 2013, sur les programmes de surveillance de masse de la NSA effectués dans le cadre d’une procédure secrète et non contradictoire. Suite à ces révélations, Max Schrems, citoyen autrichien, a porté plainte contre Facebook devant l’autorité de contrôle irlandaise, lui demandant d’interdire le transfert de ses données aux Etats-Unis, ce pays n’assurant pas un niveau de protection adéquat.L’autorité de protection des données irlandaise ayant refusé d’instruire la plainte de Monsieur Schrems, celui-ci a introduit un recours devant la Haute Cour de justice irlandaise qui a demandé l’avis de la CJUE par voie de questions préjudicielles.
La Cour, dans son arrêt du 6 octobre dernier, a d’une part estimé que la décision du Safe Harbor ne fait pas obstacle à ce qu’une autorité de contrôle d’un Etat membre examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un Etat membre vers un pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat.
D’autre part, la CJUE s’est ralliée à l’avis de son avocat général en déclarant ladite décision invalide. La Haute Cour a en effet considéré que les Etats-Unis n’offrent pas de protection suffisante contre la surveillance massive, par les autorités publiques, des données personnelles transférées vers ce pays, ces dernières ayant le pouvoir de traiter lesdites données d’une manière incompatible avec les finalités de leur transfert et au-delà de ce que qui est strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Cour européenne a constaté que la décision du Safe Harbor n’est pas valide car le droit américain ne respecte pas le droit fondamental à une protection juridictionnelle effective, en ne permettant pas aux citoyens européens d’exercer des voies de droit administratives ou judiciaires lorsque des données à caractère personnel les concernant sont collectées et traitées dans le cadre des programmes de surveillance des Etats-Unis.
L’invalidation du Safe Harbor par la CJUE remet ainsi en cause le transfert des données à caractère personnel européennes effectué sur cette base vers les Etats-Unis.
De ce fait, les entreprises américaines y ayant adhéré et les entreprises européennes transférant leursdonnées en vertu de ce dispositif devront se tourner vers d’autres mécanismes déjà existants, tels queles Binding Corporate Rules ou les Clauses Contractuelles Types de la Commission Européenne. Ces entreprises pourront également se prévaloir de l’une des exceptions prévues par la directive 95/46/CE (sauvegarde de l’intérêt public, transfert de données nécessaire à l’exécution d’un contrat entre le responsable de traitement et l’intéressé, etc.) ou recueillir le consentement exprès de la personne à qui se rapportent les données.
Néanmoins, dans le prolongement de son arrêt Digital Rights Ireland du 8 avril 2014, la CJUE rappelle que le droit au respect de la vie privée exige que les dérogations à la protection des données à caractère personnel s’opèrent dans les limites du strict nécessaire. Dès lors, les mécanismes ci-dessus mentionnés devront être utilisés avec précaution par les entreprises, dans la mesure où ils feront très probablement l’objet d’un examen attentif par les autorités nationales de contrôle, ainsi que par les tribunaux.
Certains commentateurs ont très justement observé que les problèmes de surveillance massive et le manque de voies de recours concernent tous les transferts de données vers les Etats-Unis, y compris ceux effectués en vertu des Binding Corporate Rules ou des Clauses Contractuelles Types. Plus largement encore, les Etats-Unis sont loin d’être le seul pays concerné par ces problèmes. Certains redoutent donc que la décision de la Haute Cour de Justice n’aboutisse à une interdiction plus généralisée des transferts de données vers l’étranger. Ces craintes nous semblent peu réalistes, car il n’est pas dans l’intérêt des entreprises ou des consommateurs européens d’ériger une barrière numérique contre toutes les exportations de données personnelles vers les Etats-Unis et les autres pays situés hors de l’EEE dont le gouvernement exerce une surveillance trop générale.
De manière pratique, cette décision nécessitera de la part des entités concernées et de leurs sous-traitants qu’ils vérifient scrupuleusement si leurs données sont transférées sur la base du Safe Harbor et, dans l’affirmative, qu’ils s’accordent sur d’autres moyens pour exporter lesdites données vers les Etats-Unis, ou, de manière alternative, qu’ils cessent de transférer certaines catégories de données hors de l’Espace Economique Européen.