L’arrêt de la Cour de Justice de l’Union européenne de ce 6 octobre implique que tous les avis rendus par le passé concernant le transfert de données personnelles de l’Europe vers les Etats-Unis, qui se justifiaient sur la seule base de l’adhésion de l’entreprise américaine aux principes de «Safe Harbour», doivent être revus. En effet, cette justification n’est plus de mise et il importe désormais de se pencher sur les autres alternatives possibles en matière de transfert de données personnelles vers des pays tiers.
La décision de la Commission européenne (‘Commission’) du 26 juillet 2000 (‘Décision Safe Harbour’) considérait que les entreprises établies aux Etats-Unis qui avaient adhéré aux «Safe Harbour Principles» relatifs à la protection des données à caractère personnel assuraient un niveau de protection adéquat à l’égard de ces dernières permettant leur transfert depuis l’Europe.
Cette décision avait été prise en vertu du pouvoir de la Commission conféré par la Directive 95/46/CE du 24 octobre 1995 (‘Directive Vie Privé’), de constater qu’un pays tiers assure un niveau de protection adéquat en raison de sa législation interne ou de ses engagements internationaux. Ce système permettait donc de contourner l’interdiction de principe visée par la Directive Vie privé qui proscrit le transfert de données à caractère personnel vers les pays tiers lorsque ceux-ci n’offrent pas un niveau de protection adéquat.
Ce 6 octobre, la Cour de justice de l’Union européenne (‘CJUE’) a cependant invalidé cette décision, chamboulant ainsi une pratique entérinée depuis quinze ans.
Ce arrêt a été rendu suite à une question préjudicielle adressée par la High Court of Ireland (‘High Court’). Un étudiant autrichien se plaignait du fait que Facebook stockait ses données aux Etats-Unis, pays qui selon lui n’offrait pas un niveau de protection suffisant contre la surveillance par les autorités publiques des données personnelles transférées. Une première plainte avait été adressée à l’Autorité de protection des données irlandaise qui l’avait rejetée, estimant que l’adhésion de l’entreprise aux principes de la sphère de sécurité et la Décision Safe Harbour l’empêchaient d’approfondir la question.
La High Court interrogea donc la CJUE afin de savoir si la Décision Safe Harbour avait pour effet d’empêcher une autorité nationale de contrôle de mener une enquête à partir d’une plainte d’un particulier alléguant l’illégalité du transfert pour non respect par le pays tiers du niveau de protection adéquat qu’il est tenu d’assurer à l’égard des données à caractère personnel transférées.
La CJUE répond que, même en présence d’une décision de la Commission, les autorités nationales de contrôle doivent pouvoir examiner en toute indépendance si le transfert de données vers un pays tiers respecte les exigences posées par la Directive Vie Privé.
La CJUE examine ensuite la validité de la Décision Safe Harbour. Elle relève que les Safe Harbour principles ne sont applicables qu’aux entreprises américaines qui y souscrivent volontairement et que les autorités publiques des Etats-Unis ne sont pas liées par ces principes. Les autorités américaines peuvent donc librement exiger de la part des entreprises ayant adhéré aux principes de Safe Harbor de s’en écarter à leur guise, laissant ainsi libre cours à des ingérences énormes aux droits fondamentaux des personnes au respect de la vie privée par ces autorités publiques.
En omettant dans la Décision Safe Harbour de poser des limites quant à l’accès généralisé par les autorités publiques aux données transférées, la CJUE estime que cette Décision est illicite et que l’adhésion à de tels principes ne suffit désormais plus pour permettre le transfert de données personnelles depuis l’U.E vers les Etats-Unis.
