CJUE, 6 octobre 2015, Grande Chambre, C.362/14
Maximillian Schrems. c. Data Protection Commissioner
Par un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) déclare « invalide » la décision de la Commission européenne, du 26 juillet 2000, dite de « Safe Harbor » ou « sphère de sécurité », qui autorisait le transfert de données personnelles d’un des pays membres de l’Union européenne vers les Etats-Unis d’Amérique. Au regard des exigences tant de la directive du 24 octobre 1995 « relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation des données », que de la Charte des droits fondamentaux de l’Union européenne de décembre 2000, ladite Cour de justice considère que n’est pas ou n’est plus garanti un niveau suffisant de protection des données personnelles face notamment aux risques d’ingérence des services de renseignement américains dus à leurs pratiques nouvelles (ou nouvellement révélées et dénoncées) en la matière. Dès lors, il appartient aux autorités du pays d’origine du transfert, où les données personnelles ont initialement été collectées et traitées, de s’assurer, à la demande d’un particulier, du respect des droits de celui-ci dans le pays d’importation.
A l’origine de cette affaire, il y a la démarche d’un jeune citoyen autrichien, Maximillian Schrems, entreprise auprès de l’autorité irlandaise de protection des données (équivalente de la Commission nationale de l’informatique et des libertés en France). Faisant apparaître des risques d’ingérence des services de renseignement américains dans des traitements de données, il lui demandait d’interdire le transfert, par le réseau social Facebook dont il est adhérent, de ses données personnelles, d’Irlande (pays d’implantation de la société Facebook en Europe) vers les Etats-Unis. Faute d’avoir obtenu satisfaction de l’instance de régulation irlandaise, il saisit la juridiction locale compétente. Avant de statuer, la juridiction irlandaise posa, à la CJUE, une « question préjudicielle » dans le but d’être éclairée sur le point de savoir si la décision 2000/520/CE de la Commission européenne du 26 juillet 2000 est respectueuse des principes énoncés tant par la directive 95/46/CE du 24 octobre 1995, que par la Charte des droits fondamentaux de l’Union européenne de décembre 2000. En fonction notamment de la réponse apportée, laisse-t-elle, aux différentes autorités nationales de contrôle, la possibilité sinon la responsabilité de formuler leur propre appréciation et de faire obstacle à un tel transfert de données ?
L’objet de ladite question préjudicielle conduisait à opposer, au regard des dispositions en vigueur, les opérations de transfert de données à caractère personnel, par l’exploitant d’un réseau social, depuis un des pays membres de l’Union européenne, aux pratiques américaines de renseignement, comportant des risques d’ingérence dans de telles données, dans le pays d’importation.
L’arrêt rendu se prononce à la fois sur les pouvoirs des autorités nationales des pays membres de l’Union européenne en matière de contrôle des transferts de données à caractère personnel vers le pays tiers que sont les Etats-Unis d’Amérique et sur l’invalidité de la décision contestée de la Commission européenne.
S’agissant des pouvoirs des autorités nationales à l’égard des transferts de données vers un pays tiers, la Cour de justice commence par poser, de manière assez contradictoire, que « aussi longtemps que la décision de la Commission n’a pas été déclarée invalide par la Cour, les Etats membres […] ne sauraient, certes, adopter des mesures contraires à cette décision, telles que des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n’assure pas un niveau de protection adéquat », mais qu’une telle décision ne saurait cependant « ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales ». Elle estime que ni la Charte des droits fondamentaux de l’Union européenne ni la directive d’octobre 1995 « n’excluent du domaine de compétence des autorités nationales […] le contrôle des transferts de données à caractère personnel vers des pays tiers » même « ayant fait l’objet d’une décision de la Commission ». Elle conclut que « même en présence d’une décision de la Commission […], les autorités nationales de contrôle, saisies par une personne d’une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées » par la directive.
La Cour de justice indique cependant être « seule compétente pour constater l’invalidité d’un acte de l’Union, tel qu’une décision de la Commission ». Cela implique qu’elle soit, comme en l’espèce, saisie d’une question préjudicielle.
S’agissant de la question de la validité actuelle de la décision de la Commission, telle qu’adoptée en juillet 2000, l’arrêt estime que, « au regard du fait que le niveau de protection assuré par un pays tiers est susceptible d’évoluer, il incombe à la Commission, après l’adoption d’une décision » du type de celle en cause en l’espèce, « de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. Une telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard ».
Il est considéré que « n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les Etats-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données ».
En conséquence, l’arrêt conclut que, de ce fait et dans ce nouveau contexte des pratiques des services de renseignement américains, la décision 2000/520 méconnaît les exigences tant de la Charte des droits fondamentaux de l’Union européenne que de la directive d’octobre 1995. Elle doit, pour cela, être considérée comme « invalide ».
Compte tenu de la dimension internationale autant des réseaux de communications électroniques, que des pratiques des services de renseignement américains, et de l’automaticité de la collecte et de la transmission des données personnelles des internautes, toute disposition et décision, nationale ou européenne, visant à en assurer la protection, à l’égard des autorités des Etats-Unis ou de quelque autre pays, peut-elle être véritablement de quelque utilité et efficacité ? A cela s’ajoute peut-être en premier la responsabilité des utilisateurs des réseaux sociaux qui, bien inconsidérément, rendent eux-mêmes publiques nombre d’informations personnelles ou privées les concernant, eux, leurs relations et leur entourage.