Schrems CJUE decision 6 October 2015

Depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015, il n’est plus possible de réaliser des transferts de données à caractère personnel depuis l’Union vers les Etats-Unis sur la base du Safe Harbor.

Commentaire.

Un ressortissant autrichien, M. Schrems, demande au Data Protection Commissioner irlandais (commissaire à la protection des données) d’interdire à Facebook Ireland de transférer ses données à caractère personnel ([1]) vers des serveurs appartenant à sa maison-mère Facebook Inc., établie aux Etats-Unis d’Amérique. Il estime qu’au vu des révélations faites en 2013 par M. Edward Snowden, le droit et les pratiques qui sont en vigueur aux Etats-Unis ne lui garantissent pas une protection suffisante de ses données conservées sur le territoire de ce pays. On ne saurait lui donner tort car l’on sait maintenant que le programme PRISM dénoncé par Snowden permet à la NSA d’obtenir un accès direct à toutes les données personnelles des utilisateurs de Facebook, Google, Yahoo, Amazon et autres.

La plainte de M. Schrems est rejetée, le commissaire irlandais estimant que toute question relative au caractère adéquat de la protection des données à caractère personnel aux États-Unis a été tranchée une fois pour toutes par un texte européen et qu’il ne lui appartient pas d’interférer en la matière. M. Schrems introduit un recours devant la High Court (la Haute Cour de justice Irlandaise), laquelle interroge à titre préjudiciel la CJUE sur le point de savoir si le commissaire irlandais, en tant qu’autorité de contrôle d’un État membre, est effectivement lié ou s’il peut mener sa propre enquête et se prononcer librement et en toute indépendance.

Par l’arrêt du 6 octobre 2015 (C-362/14) présentement commenté (ci-après l’ « Arrêt »), la Cour de Justice de l’Union Européenne, s’estimant saisie d’un « renvoi préjudiciel en appréciation de validité » (n° 64) répond aux deux questions préjudicielles posées et invalide proprio motu le dispositif permettant le transfert de données de l’Europe vers les Etats-Unis d’Amérique.

 I.-  Le cadre juridique et les questions préjudicielles

A) Les textes applicables

Le texte de base est une directive européenne 95/46 du 24 octobre 1995, relative à la protection des données à caractère personnel, ci-après « la Directive ». Elle prévoit que le transfert de données personnelles vers les pays tiers ne peut avoir lieu que si ces derniers présentent un « niveau de protection adéquat », c’est-à-dire, comme le précise l’Arrêt (points 73 et 74), « un niveau substantiellement équivalent à celui garanti au sein de l’Union européenne en vertu de la directive lue à la lumière de la Charte des droits fondamentaux».

L’article 2, b, de la Directive considère le transfert comme une modalité de traitement de données. Le transfert est une communication de données par transmission, diffusion ou généralement mise à disposition, à l’aide de procédés automatisés ou non, effectuée depuis un Etat membre de l’Union européenne vers un pays tiers. Quant aux données protégées, elles doivent être reliées à des personnes identifiées ou identifiables. L’identification peut résulter d’indices et traces quelconques: adresses IP, témoins de connexion (cookies), courriels, chats, requêtes des particuliers sur les moteurs de recherche, historiques de connexion, adresses mail postées sur un forum, coordonnées pour les commandes en ligne, photographies publiées sur les réseaux sociaux, information de géolocalisation, etc. ([2]). Même des données anonymes, rapprochées d’autres données et combinées entre elles, peuvent devenir identifiables.

C’est la Commission de Bruxelles que la Directive a chargée de vérifier le niveau de protection au regard de la législation interne et des engagements internationaux des pays tiers destinataires de transferts de données.

La Commission européenne a pris, entre autres, des décisions dites « d’adéquation” concernant la Suisse (décision 2000/518/CE du 26 juillet 2000 relative à la constatation, conformément à la directive 95/46, du caractère adéquat des données à caractère personnel en Suisse) et les Etats-Unis d’Amérique (décision n° 2000/520 du 26 juillet 2000 conformément à la directive 95/46 relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiées par le ministère du commerce des Etats-Unis d’Amérique). C’est cette dernière (ci-après la « Décision ») qui nous intéresse dans le cadre de ce commentaire.

La Décision repose sur un singulier mécanisme d’« auto-certification » dont le principe est le suivant : les entreprises américaines ([3]) qui, conformément à la Décision en son article 1er, 3, déclarent leur adhésion à un certain nombre de principes relatifs à la protection de la vie privée en en avisant le ministère américain du commerce, sont présumées être en règle et à ce titre se voient autorisées à transférer librement des données depuis l’Europe sans avoir à demander d’autorisation aux autorités nationales de protection des données.

Il est postulé que le niveau de protection adéquat pour le transfert de données de la Communauté vers les États-Unis d’Amérique est obtenu si les entreprises respectent les «principes de la sphère de sécurité ». On dit aussi qu’elles sont en « port sûr » (Safe Harbour).

La société Facebook a certifié adhérer à ces principes. Elle remplit donc automatiquement, si l’on peut dire, les conditions relatives au Safe Harbour et  bénéficie de la présomption de « niveau de protection adéquat ». Elle peut importer toutes les données personnelles européennes qu’elle souhaite.

Contre toute attente le niveau de protection de protection offert aux USA n’est pas apprécié au niveau qui devrait être le sien, celui de la règlementation étatique, mais au niveau d’engagements d’entreprises privées qui sont elles mêmes soumises à la réglementation US et n’ont en principe aucun pouvoir pour l’instaurer, la modifier ou contrôler son application. Certes des organes de l’Etat, la Commission fédérale du commerce et le ministère des transports des Etats-Unis, coopèrent d’une certaine manière au système. Ainsi le ministre américain du commerce dresse et rend publique la liste des entreprises qui déclarent leur adhésion aux principes de manière à pouvoir être identifiées par les parties intéressées, à savoir les personnes concernées, les exportateurs de données ou les autorités chargées de la protection des données.

Mais la Décision ne prend pas en compte les textes américains applicables.

Au résultat, les entreprises se révèlent  totalement incapables de tenir les engagements qu’elles ont souscrits relativement au respect des principes du Safe Harbor visés dans la Décision, Annexe I, 2ème  alinéa (Arrêt, n° 82). Car en application des lois anti-terroristes américaines, Facebook comme toutes les entreprises américaines doit, notamment, procurer l’accès aux données collectées aux administrations de l’Etat et services de renseignement américains.

B) Les questions préjudicielles

En substance, la Haute Cour de justice Irlandaise demande à la CJUE si le commissaire irlandais, en tant qu’autorité de contrôle d’un État membre, est lié par la constatation effectuée par la Commission dans sa Décision 2000/520 selon laquelle les États-Unis assurent un niveau de protection adéquat, ou si le commissaire peut mener sa propre enquête, se prononcer en toute indépendance sur cette adéquation, quitte à contredire éventuellement le sens ou les termes de la Décision.

On pouvait soutenir que la Commission Européenne incarnant l’Union face aux tiers, toute autorité nationale, comme en l‘espèce le Data Protection Commissioner irlandais, ne pouvait que se conformer à ses décisions. Ce n’est qu’en l’absence de décision de la Commission que l’autorité nationale aurait retrouvé son pouvoir d’appréciation.

La CJUE retient pourtant une solution différente : le fait que la Commission a préalablement constaté qu’un pays tiers assure un niveau de protection adéquat n’empêche pas  une autorité nationale de protection des données d’un État membre d’examiner à son tour en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive et comporte un niveau de protection adéquat de ses données personnelles transmises aux Etats-Unis (Arrêt n° 37 et s., n° 53 et s.).

L’Arrêt mérite approbation à cet égard. Mais l’apport le plus important de l’Arrêt est ailleurs. C’est l’invalidation de la Décision.

II.- L’invalidation de la Décision

Dans le procès au principal l’invalidation n’était pas un objet de demande. Pourtant la CJUE décide de statuer sur cette question. Cette façon de procéder a déjà été suivie par la Cour de justice au moins une fois à notre connaissance – à l’occasion d’un renvoi en interprétation sur une question préjudicielle, la Cour a statué sur la validité d’un acte de l’Union européenne ([4]).

La Cour explique que « M. Schrems émet des doutes, que cette juridiction (de renvoi) paraît d’ailleurs partager en substance, concernant la validité de la décision 2000/520. Dans de telles circonstances, (…)  et afin de donner une réponse complète à ladite juridiction, il convient d’examiner si cette décision est conforme aux exigences découlant de cette directive, lue à la lumière de la Charte » (n° 67).

Et dans son communiqué de presse n° 117/15 paru le même jour, on lit : « la Cour rappelle qu’elle est seule compétente pour constater l’invalidité d’un acte de l’Union, tel qu’une décision de la Commission. Par conséquent, lorsqu’une autorité nationale ou bien la personne ayant saisi l’autorité nationale estime qu’une décision de la Commission est invalide, cette autorité ou cette personne doit pouvoir saisir les juridictions nationales pour que, dans le cas où elles douteraient elles aussi de la validité de la décision de la Commission, elles puissent renvoyer l’affaire devant la Cour de justice. C’est donc en dernier lieu à la Cour que revient la tâche de décider si une décision de la Commission est valide ou non.

La Cour vérifie alors la validité de la décision de la Commission du 26 juillet 2000 ».

Il faut approuver la Cour de s’être ainsi emparée de la question de la validité. De toute évidence la Décision était de celles qui ne méritaient pas de demeurer dans l’ordonnancement juridique.

Comme l’observe la Cour, « c’est l’ordre juridique du pays tiers visé par la décision de la Commission qui doit assurer un niveau de protection adéquat » (Arrêt, n° 74). Or la Commission s’en est tenue aux engagements pris par les entreprises américaines sans prendre en compte l’état de l’ordre juridique des Etats-Unis à l’époque de la Décision, en 2000, pour évaluer le niveau de protection des droits fondamentaux offert par ce pays (A). Plus encore, elle n’a pas pris en compte les changements et sensibles inflexions que la règlementation et les pratiques américaines ont connues dans le cadre des mesures anti-terroristes prises à la suite des attentats du 11 septembre 2001 (B).

A) Absence de prise en compte de la situation de l’ordre juridique américain en 2000

Dans sa décision 2000/520, la Commission n’a pas constaté comme elle y était tenue, que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux adéquat (Arrêt, n° 83 et n° 97), c’est-à-dire substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte.

Et pour cause. Les Etats-Unis, en tant qu’Etat, ne sont en rien engagés par les principes du Safe Harbor visés dans la Décision, Annexe I, 2ème  alinéa (Arrêt, n° 82).

Au demeurant, l’Arrêt montre à loisir que la réglementation américaine porte atteinte à ces principes et en donne de nombreux exemples. Ainsi méconnait-elle le droit au respect de la vie privée garanti par l’article 7 de la Charte des droits fondamentaux de l’Union européenne et le droit à la protection des données consacré à son article 8 en permettant « un accès très général et incontrôlé des autorités publiques américaines au contenu de communications électroniques, sans poser de limites ».

L’Arrêt expose (points 92 et s.) que les atteintes à ces droits fondamentaux qui doivent rester dans les limites du strict nécessaire sont largement excessives ([5]), puisqu’elles entraînent « la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données » (Arrêt, point 93).

Cette même réglementation attente, comme le rappelle aussi l’Arrêt, au droit fondamental à une protection juridictionnelle effective, puisqu’elle nie toute possibilité d’accès, de rectification ou de suppression de tels contenus ([6]) pour le citoyen européen et ne prévoit pas de droit de recours.

Or comme l’observe l’Arrêt (point 95) «une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte » ([7]).

« Au surplus, la décision 2000/520 ne comporte aucune constatation quant à l’existence, aux États-Unis, de règles à caractère étatique destinées à limiter les éventuelles ingérences dans les droits fondamentaux des personnes dont les données sont transférées depuis l’Union vers les États-Unis, ingérences que des entités étatiques de ce pays seraient autorisées à pratiquer lorsqu’elles poursuivent des buts légitimes, tels que la sécurité nationale » (Arrêt n° 88).

A fortiori, la Décision ne fait état d’aucun engagement des États-Unis de prendre des mesures pour supprimer ou au moins réduire de quelconques ingérences dans les droits fondamentaux des personnes concernées par ces données.

En définitive qu’a fait la Commission ? Elle s’est trompée de cible en construisant un régime de Safe Harbour. L’auto-certification est une illusion qui semble l’avoir leurrée elle-même. Les entreprises américaines qui ont adhéré au Safe Harbour, nonobstant les engagements qu’elles prennent, restent tenues de respecter la législation anti-terroriste américaine et se trouvent ainsi dans l’obligation d’écarter les règles de protection du Safe Harbour, lorsque ces règles entrent en conflit avec les lois impératives des États-Unis et les demandes des autorités de ce pays. Cela n’avait pourtant pas échappé à la Commission, puisque comme le remarque la Cour (Arrêt, n° 85) « sous le titre B de son annexe IV, la décision 2000/520 souligne, s’agissant des limites auxquelles est soumise l’applicabilité des principes de la sphère de sécurité, qu’«[i]l est clair que lorsque la législation américaine impose une obligation conflictuelle, les organisations américaines faisant ou non partie de la `sphère de sécurité’ doivent se plier à cette législation».

Or, comme il a été souligné plus haut, les autorités des États-Unis ont accès aux données à caractère personnel et peuvent traiter celles-ci d’une manière incompatible avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Commission a constaté qu’il n’existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant, notamment, d’accéder aux données les concernant et, le cas échéant, d’obtenir leur rectification ou leur suppression.

B) Absence de suivi

L’Arrêt ajoute qu’« au regard du fait que le niveau de protection assuré par un pays tiers est susceptible d’évoluer, il incombe à la Commission, après l’adoption d’une décision au titre de l’article 25, paragraphe 6, de la directive 95/46, de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. Une telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard » (Arrêt, n° 74).

Or l’évolution postérieure n’a pas été prise en compte. Les conditions d’un niveau de protection suffisant sur le territoire américain, même à les supposer suffisantes à la date de la Décision, n’étaient plus réunies après les textes pris aux Etats Unis à la suite des attentats du 11 septembre. Le Patriot Act, qui permet quasiment toute intrusion dans les données personnelles, est daté du 26 octobre 2001. Ses dispositions consacrées aux procédures améliorées de surveillance – Enhanced Surveillance Procedures – qui nous intéressent spécialement ici, adoptées à l’origine à titre temporaire, sont devenues permanentes en 2006 (USA Patriot Improvement and Reauthorization Act).

Le fait que les dispositions en vigueur aux Etat-Unis et les mesures de sécurité qui y sont appliquées soient intervenues postérieurement à l’adoption de la Décision ne saurait justifier le maintien en l’état de celle-ci car, comme l’arrêt le relève (Arrêt, point 77), « lors de l’examen de la validité d’une décision de la Commission adoptée au titre de l’article 25, 6, de la directive 95/46, il doit être également tenu compte des circonstances intervenues postérieurement à l’adoption de cette décision ». L’article 4. 1 de la Décision prévoyait formellement qu’elle pouvait « être adaptée à tout moment à la lumière de l’expérience acquise durant sa mise en oeuvre ». La Commission européenne a certes adopté le 27 décembre 2004 (décision 2004/915) un nouvel ensemble de clauses contractuelles types destinées à encadrer les transferts de données hors de l’Union Européenne ([8]).
Pour autant toutefois la Décision 2000/520 n’a pas été adaptée. Cette carence est d’autant plus regrettable qu’elle a empêché les États membres de prendre les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause (Directive, art. 25, 4.).

C’est donc logiquement et fort justement que la CJUE invalide la Décision. Les transferts opérés de l’Union européenne vers les Etats-Unis à compter de la date de l’arrêt sur le fondement du Safe Harbor se trouvent privés de fondement juridique.

III.- Quelles conséquences peut-on attendre de l’Arrêt ?

A) Pour l’ensemble des parties exportatrices et importatrices de données

Depuis le 6 octobre 2015, il n’est plus possible de réaliser des transferts de données à caractère personnel depuis l’Union européenne vers les Etats-Unis sur la base du Safe Harbor.

Il semblerait que, depuis l’intervention de l’Arrêt, les autorités de protection des données réunies au sein du G 29 se soient entendues pour ne pas remettre en cause les transferts fondés sur le Safe Harbor jusqu’au 31 janvier 2016 ([9]).

Cela signifie –t-il que les quatorze années de transferts illégaux (décomptés à partir du Patriot Act) ne donneront lieu à aucune sanction ni à aucune mesure réparatrice ? La question mérite d’être posée. Peut être pourrait-on songer à conclure entre l’Union Européenne, les Etats-Unis et les grandes entreprises américaines concernées des accords permettant à l’Union un accès aux données et un blocage systématique de certains sites et comptes dans le cadre de la lutte contre le terrorisme ? On s’accorde à dire que l’auto-radicalisation par le web, puissant instrument d’endoctrinement (phénomène de « l’imam Google »), est aujourd’hui une cause importante du basculement vers le djihad. Or nos services de renseignement et de police européens ont du mal à surveiller quelques centaines de suspects alors que les GAFA (Google, Amazon, Facebook et Apple) collectent toutes sortes d’informations sur des centaines de millions d’utilisateurs.  Plus de 3 milliards de recherches seraient effectués quotidiennement rien que sur Google. Il serait bien temps d’exploiter cette ressource inouïe pour aider à contrer le terrorisme qui s’abat sur nos pays.

B) Pour les entreprises du Net

Quels sont les effets prévisibles de l’invalidation du dispositif du Safe Harbor pour l’avenir ? Sans doute des conséquences économiques et technologiques majeures.  Les modèles économiques d’exploitation de données à très grande échelle – ces mégadonnées conservées dans le but d’être exploitées sans limite de temps – de Facebook, mais aussi d’autres réseaux sociaux tels LinkedIn ou Viadeo et plate-formes de traitement comme Google, seront vraisemblablement affectés. Des conséquences possibles sur leurs résultats et leurs cours de bourse peuvent être anticipées.

C) Pour la Suisse

Il faut rappeler que la Suisse, estimant également que la législation US n’offre pas une protection adéquate et suffisante du point de vue de sa législation, a conclu un accord en 2009 avec les Etats-Unis qui est pareillement fondé sur le mécanisme du Safe Harbor, le U.S.-Swiss Safe Harbor Framework.

Or l’autorité suisse compétente en matière de protection des données, le Préposé fédéral à la protection des données et à la transparence, qui détient des pouvoirs d’investigation et d’intervention, s’est très récemment interrogé sur les répercussions de l’Arrêt sur la validité de cet accord et la possibilité de continuer les transferts de données personnelles vers les Etats-Unis à partir de son territoire. Par un communiqué du 22 octobre 2015, il a fait savoir que l’Arrêt « remet en question l’accord U.S.-Swiss Safe Harbor Framework », dès lors qu’ « il ne constitue plus une base légale suffisante pour une transmission de données personnelles de la Suisse vers les Etats-Unis ».

La formule semble excessive car on ne voit pas bien comment l’Arrêt affecterait la validité d’un accord conclu entre des pays étrangers à l’UE. Mais en examinant les choses de plus près, elle est peut-être moins incongrue qu’il n‘y paraît. Certes, la Charte des droits fondamentaux qui inspire l’Arrêt n‘est pas directement applicable en droit suisse et les droits fondamentaux qu’elle consacre n’ont pas vocation à s’appliquer dans les situations qui ne sont pas régies par le droit de l’Union européenne ([10]).

Il reste qu’il s’agit de principes fondamentaux et que ces principes irriguent l’ordre juridique suisse. Appliqués à la protection des données à caractère personnel dans sa législation, ces principes pourraient être invoqués au soutien de la thèse de l’invalidation du U.S.-Swiss Safe Harbor Framework.

La constitution fédérale, modifiée par votation populaire le 18 avril 1999 et entrée en vigueur le 1er janvier 2000, donne à toute personne le droit au respect de sa vie privée et, en particulier, le droit d’être protégée contre l’emploi abusif des données qui la concernent. D’ailleurs sur la base de la constitution antérieure, qui ne contenait pas une telle disposition, le Tribunal fédéral a développé une jurisprudence fixant les principes généraux applicables aux traitements de données à caractère personnel en ce qui concerne notamment la qualité des données traitées, le droit d’accès des personnes concernées et le droit de demander la rectification ou la destruction des données. Ces principes sont contraignants tant au niveau fédéral que cantonal.

Enfin, la Suisse a ratifié, le 2 octobre 1997, la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel, premier instrument international contraignant Or cette convention impose des restrictions aux flux transfrontières de données dans les Etats où n’existe aucune protection équivalente. Les normes applicables en Suisse englobent tous les principes fondamentaux nécessaires pour constater un niveau de protection adéquat des personnes physiques, même si des dérogations et des limitations sont également prévues pour la sauvegarde d’intérêts publics importants (sécurité nationale et défense par ex.). L’application de ces normes est garantie par les recours juridictionnels et par le contrôle indépendant exercé par les autorités, notamment par le Préposé fédéral. Par ailleurs, les dispositions du droit suisse relatives à la responsabilité civile s’appliquent en cas de traitement illicite portant préjudice aux personnes concernées.

La question du maintien du U.S.-Swiss Safe Harbor Framework a donné lieu à une mise au point officielle du Conseil fédéral suisse qui « n’envisage pas, pour l’instant, de suspendre ou de dénoncer l’accord sur le régime de la sphère de sécurité, sans pour autant exclure une telle éventualité à l’avenir ». Dans sa déclaration, consultable sur internet, le Conseil fédéral prend à son compte la solution recommandée par le Préposé fédéral tendant à la conclusion de nouveaux accords avec les entreprises américaines concernées pour relever le niveau de protection des données en les alignant sur les garanties offertes par l’article 6 alinéa 2, a, de la loi suisse sur la protection des données, et ce « jusqu’à ce que des solutions appropriées soient trouvées avec les autorités américaines ». Tout en reconnaissant néanmoins que cela ne réglerait pas le « problème de base » qui vient des droits d’accès « étendus » selon le Conseil fédéral, « disproportionnés » selon le Préposé fédéral, – en tous cas incontrôlés et même incontrôlables – exercés par les autorités américaines.

Ce sont là des prérogatives d’Etat qu’aucune convention privée n’est en mesure de réduire ou de limiter. Aussi est-on conduit à chercher des solutions dans d’autres directions. Dans le cadre des discussions actuelles, la réflexion porte notamment sur la possibilité ouverte par la directive 95/46 en son article 26 de recueillir le consentement des personnes concernées. C’est semble-t-il la voie dans laquelle s’est tout récemment engagée Google.

Mais la porte est étroite. Cette disposition, qui est de lecture stricte comme toute dérogation, est en effet réservée aux cas où les personnes ont « indubitablement donné (leur) consentement au transfert envisagé ». Cette formule limite la portée de cette dérogation à des transferts précis, ponctuels, pour lesquels une autorisation aura dûment été donnée, au cas par cas. Les autorités nationales de protection des données et, en particulier, la CNIL ([11]) en France, semblent privilégier cette interprétation. « Le consentement est donc un fondement fragile » ([12]). Il peut difficilement autoriser, et à plus forte raison entériner après coup, des transferts ordonnés, répétitifs, intervenant en flux massifs. En outre, dans la conception de cette dérogation, on ne voit pas qu’une personne qui a consenti au transfert n’ait pas le droit de savoir quel traitement subiront ses données, surtout en cas de transmission à un tiers. Cela impliquerait une information claire et précise sur les modalités et les buts du traitement et le droit de vérifier la conformité de l’usage qui sera fait des données. La personne devrait donc se voir également accorder le droit d’accéder et de rectifier « ses » données. Toutes prérogatives irréalistes en l’état actuel des choses.

La seule solution serait un changement de cap de la législation américaine pour instaurer une protection des données d’un niveau adéquat. Mais les Etats-Unis l’accepteront-ils ? Probablement non. Faudra-t-il alors interdire tout transfert vers les États-Unis et se tourner vers des solutions non américaines de stockage des données ? Mais où trouver d’autres intervenants aussi efficaces ?

[1] Voy. L’effectivité du droit face à la puissance des géants de l’Internet, ouvrage collectif sous la direction de M. Behar-Touchais, 2014, vol.1,  IRJS Éditions, Université Panthéon-Sorbonne, notamment J. Rochfeld, Les géants de l’internet et l’appropriation des données personnelles : plaidoyer contre la reconnaissance de leur “propriété”, p. 73-87.

[2] I. Beyneix, Le traitement des données personnelles par les entreprises : big data et vie privée, état des lieux, La Semaine Juridique – Edition générale n° 46-47, nov. 2015, 1260.

[3] Ce mécanisme ne s’applique qu’aux secteurs relevant de la Federal Trade Commission et du ministère étasunien des Transports. En sont exclus les secteurs et/ou les traitements de données qui ne relèvent pas aux États-Unis de la compétence des organes administratifs américains susvisés (Décision, Considérant 6), et notamment les télécoms et les services financiers. Les transferts de données personnelles dans le cadre d’accords « Fatca » sont aussi spécifiques.

[4] Il s’agissait en l’occurrence d’un règlement, qui n‘a cependant pas été invalidé à l’issue du contrôle effectué par la Cour : « Au vu des considérations qui précèdent, il convient de constater que l’examen des questions posées n’a fait apparaître aucun élément de nature à affecter la validité du règlement» (CJCE 6 avr. 2000, Polo / Lauren, aff. C-383/98, Rec. CJCE-I 2519).

[5] L’arrêt cite la décision Digital Rights Ireland, C 293/12 et C 594/12, EU:C:2014:238, points 52 et s.

[6] Toute personne a droit à l’effacement des données la concernant (on parle d’un « droit à l’oubli numérique »). La CJUE dans son arrêt du 13 mai 2014, aff. C-131/12, estime que la directive 95/46 permet à tout un chacun de demander que des liens vers des pages web soient supprimés d’une liste de résultats lorsqu’à la suite d’une recherche effectuée sur son nom des informations susceptibles de lui porter préjudice et devenues caduques (il était fait mention d’une dette soldée depuis dix ans) apparaissent alors qu’elles devraient être «oubliées après un certain temps ».

[7] La Cour mentionne, comme allant dans le même sens, ses arrêts Les Verts/Parlement, 294/83, EU:C:1986:166, point 23; Johnston, 222/84, EU:C:1986:206, points 18 et 19; Heylens 222/86, EU:C:1987:442, point 14, ainsi que UGT Rioja C 428/06 à C 434/06, EU:C:2008:488, point 80).

[8] Il est notamment prévu la limitation des transferts, traitements et communications ultérieures de données à caractère personnel à une finalité spécifique ou ultérieurement autorisée par la personne concernée ; le droit d’accès à ces données (sauf, curieusement, lorsque l’accès « risque de porter gravement atteinte aux intérêts d’organisations traitant avec l’importateur de données et que les libertés et droits fondamentaux de la personne concernée ne priment pas sur ces intérêts ») ; le droit de faire rectifier, modifier ou supprimer les données à caractère personnel lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes ; le droit d’objection mais seulement pour des raisons impérieuses et légitimes relatives à leur situation personnelle ; enfin le droit de contester un refus devant l’autorité.

[9] Anne Debet, L’invalidation du Safe Harbor par la CJUE : tempête sur les transferts de données vers les Etats-Unis, La Semaine Juridique, Edition Générale 2015, n° 46-47, 1258

[10] CJUE, arrêt du 5 février. 2015, aff. C-117/14

[11] CNIL, Les transferts de données à caractère personnel hors de l’Union européenne : Guide Pratique, 2012, p. 37.

[12] A. Debet, note précitée.

Daniel Ohl

D o c t e u r   d ’ E t a t   e n   d r o i t
A v o c a t  a u x  b a r r e a u x  d e   P a r i s  e t  d e  G e n è v e

 

1 January 2016