Le « Safe Harbor » invalidé par la justice européenne

La Cour de Justice de l’Union Européenne (CJUE) se montre de plus en plus sensible à la protection des données personnelles.

Le cadre juridique avait été posé par la Directive du 24 octobre 1995 : chaque État membre de l’Union était tenu de faire respecter les droits des personnes physiques en matière de protection de leurs données personnelles.

Parmi ces droits figurent notamment celui d’être informé de la finalité du traitement, de la possibilité d’accéder, de modifier ou de supprimer des données, ainsi que celui d’être informé en cas de transfert des données en dehors de l’UE.

En effet, si les transferts de données entre États membre sont libres, ils sont, par principe, interdit lorsque le destinataire est situé hors de l’UE.

Le but est de protégé la personne concernée contre une utilisation de ses données qui serait abusive et contraire aux droits fondamentaux.

Un tel transfert n’est alors possible que dans trois cas de figure :

Jusqu’à présent, les États-Unis bénéficiaient d’un statut particulier.

Une Décision de la Commission Européenne du 26 juillet 2000 avait considéré que les États-Unis assuraient un niveau de sécurité suffisant par rapport à celui offert par l’UE.

La même décision avait alors validé un accord appelé le « Safe Harbor » (ou « sphère de sureté »). Cet accord, limité aux seules entreprises y ayant adhéré, constitue un engagement (principalement moral) à respecter les droits des personnes sur leurs données personnelles.

C’est cette décision qui a été invalidée par la CJUE dans son arrêt du 6 octobre 2015.

Selon la Cour, l’accord « Safe Harbor » ne peut aucunement constituer un niveau de protection équivalent à celui prévu par le droit de l’UE.

En effet, la CJUE relève dans un premier temps que le « Safe Harbor » est limité aux seules entreprises qui y ont adhéré. Les autorités publiques des États-Unis elles-mêmes n’y sont pas soumises.

Par ailleurs, le droit américain conduit ces entreprises adhérentes à écarter d’office le « Safe Harbor » dès que celui-ci est contraire à une règle de droit nationale.

Pour la Cour, le risque d’ingérence des autorités américaine est donc trop élevé.

Cette position est notamment appuyé sur deux communications de la Commission Européenne de 2013 dans lesquelles il était déjà fait état de la possibilité pour l’administration américaine d’avoir accès aux données personnelles transférées depuis l’étranger sans qu’il n’existe pour les personnes concernées de procédure garantissant les droits d’accès, de rectification ou de suppression.

Cette possibilité pour les autorités d’accéder, de manière généralisée et sans limitation de durée, aux données personnelles constitue pour la CJUE une violation du droit fondamental à la vie privée.

Cette violation est encore aggravée par l’absence de recours juridictionnel offert au justiciable.

La CJUE en conclu que les conditions d’une protection équivalente sont loin d’être réunies.

La Décision de la Commission du 26 juillet 2000 est donc invalidée.

Sur le plan pratique, cette décision pourrait avoir d’importantes conséquences pour les entreprises américaines important des données depuis l’Europe.

En effet, elle met non seulement hors-jeu l’exception constituée par le « Safe Harbor », mais elle implique également l’exclusion des États-Unis de l’exception accordées au titre du niveau de protection suffisant.

Pour beaucoup de sociétés américaines, qui comptaient sur le seul « Safe Harbor » afin de justifier de la légalité des transferts de données depuis l’Europe, cette décision crée un vide juridique et les place dans une situation d’incertitude.

Par exemple, et ainsi que le note la CJUE dans le cas d’espèce qui lui était soumis, cela pourrait conduire la « CNIL Irlandaise » à interdire à FACEBOOK de transférer vers les États-Unis les données personnelles des utilisateurs européens.

Aujourd’hui, seules les « Binding Corporate Rules » et les clauses contractuelles types peuvent permettre les transferts de données vers les États-Unis.

Mais ces deux méthodes sont encore peu utilisées car plus lourdes sur un plan administratif, notamment pour des structures de petite taille.

La négociation d’un nouveau « Safe Harbor », qui avait déjà débuté avant la décision de la CJUE, devrait reprendre afin de donner un nouveau cadre aux transferts de données transatlantiques.

Amandine Quenton