Par un arrêt du 6 octobre 2015 (affaire C-362/14), la Cour de Justice de l’Union Européenne a annulé la décision de la commission européenne 2000/520 du 26 juillet 2000 qui reconnaissait le niveau de protection suffisant des entreprises américaines ayant adhéré au Safe Harbor et consacrait ainsi le principe de libre transfert des données à caractère personnel depuis les pays membres de l’Union Européenne vers les Etats-Unis.
Monsieur Schrems inquiet que la NSA et le FBI puissent avoir accès à ses données personnelles après leur transfert par Facebook Irlande aux Etats-Unis a saisi le commissaire européen à la protection des données. Après le rejet de sa plainte par le commissaire européen ce dernier a introduit un recours devant la Haute Cour de justice Irlandaise qui a jugé que « l’accès massif et indifférencié à des données à caractère personnel serait évidemment contraire au principe de proportionnalité et aux valeurs fondamentales protégées par la constitution irlandaise. ». Par conséquent, la Cour irlandaise a estimé que la décision de la commission européenne 2000./520 n’était pas conforme aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne qui consacrent le droit au respect de la vie privée et familiale ainsi que le droit à la protection des données personnelles.
La légalité de cette décision devant être apprécié au regard du droit de l’Union Européenne, la Cour irlandaise a saisi la CJUE d’une question préjudicielle qui dans ce cadre a jugé que :
1. « la protection du droit fondamental au respect de la vie privée au niveau de l’union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire. »
2. « n’est pas limitée au stricte nécessaire une règlementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données.»
3. « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la Charte. »
Les conséquences de principe de l’arrêt de la CJUE
La CJUE a donc déclaré que les Etats Unis n’assuraient plus un niveau de protection suffisant des données à caractère personnel en invalidant le mécanisme du Safe Harbor, ensemble de règles juridiques instaurées par le Département du Commerce des États-Unis, en concertation avec la Commission européenne, afin de permettre aux entreprises et organisations américaines de se conformer à la Directive européenne. Ce mécanisme permettait de transférer des données personnelles aux Etats-Unis conformément à l’article 68 de la loi Informatique et Libertés (loi n°78-17), qui prévoient que les transferts de données à caractère personnel vers un pays tiers à l’Union européenne sont, en principe, interdits, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles.
Cela remet donc en cause le principe de liberté de transfert des données personnelles aux Etats-Unis. Mais cela signifie-t-il que tous les transferts de données à caractère personnel vers les Etats-Unis sont interdits ?
Il n’est pas possible à ce stade d’avoir des conclusions tranchées. Ce qui est en revanche certain, c’est que depuis le 6 octobre 2015, les autorités de protection des données doivent examiner la validité des transferts aux Etats-Unis qui leur sont soumis, en tenant compte du fait que la protection des données n’est pas suffisante.
Les conséquences opérationnelles de l’arrêt de la CJUE
Dans un communiqué de Presse du 7 octobre, la CNIL annonçait qu’elle devait se réunir avec ses homologues du groupe de l’article 29 afin de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ».
En effet, la CJUE ne donne aucun élément sur les effets de son arrêt et comme le respect des droits fondamentaux est en jeu, il ne parait pas possible de limiter les effets dudit arrêt dans le temps.
Dans l’attente de ces précisions, il est difficile de conclure sur les mesures à mettre en œuvre pour sécuriser les transferts déjà réalisés.
A minima, il apparait nécessaire pour les prochains transferts de données, en B to B, de signer des Clauses Contractuelles Types adoptées par la Commission européenne (de responsable à responsable ou de responsable à sous-traitant) ou encore d’adopter dans les transferts intra-groupe de Règles internes d’entreprise (ou BCR) qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des pays tiers.
En toute logique, il conviendrait également de régulariser des Clauses Contractuelles Types avec les sociétés qui traitent actuellement aux Etats-Unis des données transférées depuis un pays membre de l’Union Européenne, afin d’encadrer au mieux la protection et la sécurité desdites données.
Il est néanmoins nécessaire de souligner qu’un contrat entre des sociétés privées n’empêchera pas les autorités américaines d’accéder de manière généralisée au contenu de communications électroniques. Certains auteurs ont évoqué la possibilité d’un Safe Harbor 2, nous n’avons néanmoins pas assez de recul pour prévoir les conséquences réelles de cet arrêt.
_______
Juliette Chavane de Dalmassy est Avocate du département Propriété Industrielle et Nouvelles Technologies du Cabinet Cornet Vincent Segurel