Garance Mathias, avocat à la Cour, revient sur l’invalidité de Safe Harbor. Historique des faits, décryptage de la décision et de ses conséquences. www.avocats-mathias.com.
Alors qu’elles étaient attendues en juin, les conclusions de l’avocat général Yves Bot ont été rendues le 23 septembre dans l’affaire Schrems. Il conclut à l’invalidité de la sphère de sécurité (ou Safe Harbor) instaurée par décision de la Commission européenne le 26 juillet 2000. Il souligne par ailleurs que les autorités de protection des données à caractère personnel ont le pouvoir de suspendre les transferts vers les États-Unis.
Les faits
Dans le contexte des révélations sur l’affaire « PRISM » impliquant la NSA, Monsieur Schrems, utilisateur autrichien du réseau social Facebook, avait saisi le Commissaire à la protection des données irlandais d’une plainte considérant que la législation outre-Atlantique n’offrait pas une protection suffisante des données personnelles des citoyens européens stockées aux États-Unis.
Cette plainte avait été rejetée, le Commissaire à la protection des données la considérant comme infondée. Il avait également estimé ne pas avoir à l’instruire compte tenu de la décision 2000/520 du 26 juillet 2000 par laquelle la Commission européenne a reconnu le caractère adéquat du niveau de protection assuré par la législation américaine dans le cadre de la sphère de sécurité.
La Haute Cour de justice irlandaise, saisie par Monsieur Schrems d’un recours contre la décision de refus de l’autorité de protection, avait alors posé une question préjudicielle à la Cour de justice de l’Union européenne en juillet 2014. La Cour de Luxembourg était invitée à préciser si la décision d’adéquation adoptée par la Commission pouvait avoir pour effet d’empêcher une autorité nationale de protection des données personnelles d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.
La position de l’avocat général
La position de l’avocat général s’articule autour de deux points : l’indépendance des autorités de contrôle nationales et le contexte dans lequel la sphère de sécurité est mise en œuvre.
Ainsi, sans nier l’étendue de la compétence de la Commission européenne qui, rappelons-le, peut, en vertu de l’article 25§6 de la directive 95/46/CE, constater le niveau de protection adéquat assuré par un pays tiers à l’Union européenne, l’avocat général indique que « si les autorités nationales de contrôle étaient liées de manière absolue par les décisions adoptées par la Commission, cela limiterait inévitablement leur totale indépendance. ». Cela signifie que la décision de la Commission européenne ne saurait faire obstacle aux missions reconnues aux autorités de contrôle nationales et notamment à leur pouvoir de contrôle de la bonne application de la réglementation conformément à l’article 28 de la directive précitée. En conséquence, la décision du 26 juillet 2000 scellant l’accord sur la sphère de sécurité devrait pouvoir faire l’objet d’un examen par une autorité de contrôle nationale.
L’avocat général a également examiné la validité de la sphère de sécurité en procédant à un contrôle de proportionnalité. Sur ce point, il conclut que l’ingérence dans les droits fondamentaux des citoyens, constituée par le large accès aux données personnelles des citoyens européens dont bénéficient les services de renseignement américains, est disproportionnée dans la mesure où la surveillance n’est absolument ciblée.
Avant le 6 octobre, date à laquelle la Cour de justice de l’Union européenne a rendu son arrêt, l’ambassadeur des États-Unis auprès de l’Union européenne formulait d’ores et déjà quelques regrets. Selon lui, l’avocat général aurait dû prendre en compte l’action du président Obama qui, depuis deux ans, aurait pris des mesures afin que les pratiques des agences américaines de renseignement soient plus transparentes.
La décision de la Cour sur la validité du Safe Harbor
La CJUE rappelle en effet que « l’Union est une Union de droit dans laquelle tout acte de ses institutions est soumis au contrôle de la conformité avec, notamment, les traités, les principes généraux du droit ainsi que les droits fondamentaux (…). Les décisions de la Commission (…) ne sauraient donc échapper à un tel contrôle. »
La Cour reconnaît également que « le niveau de protection assuré par un pays tiers est susceptible d’évoluer ». Dès lors, « il incombe à la Commission (…) de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. ». Et la Cour d’ajouter qu’une « telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard. ».
Les impacts de l’invalidation du Safe Harbor
La suspension du Safe Harbor aurait pour conséquence immédiate de porter un coup d’arrêt au transfert systématique des données personnelles des utilisateurs du réseau social Facebook aux États-Unis. Plus largement, les transferts de données vers les datacenters aux États-Unis auxquels procèdent les grandes entreprises américaines devraient cesser.
Toutefois, rappelons que des outils existent afin de permettre le transfert de données dans des pays tiers à l’Union européenne ne bénéficiant pas d’une décision d’adéquation de la Commission européenne (clauses contractuelles types ou, au sein d’un groupe, des règles internes d’entreprise).
Il convient de rappeler que ces conclusions s’inscrivent dans un mouvement initié en 2013. En novembre 2013, la Commission européenne appelait les États-Unis à rétablir la confiance dans les transferts de données personnelles entre outre-Atlantique. L’Union européenne et les États-Unis s’engageaient ensuite, en mars 2014, à renforcer le cadre juridique de la sphère de sécurité dans une déclaration conjointe.
On peut donc présager que cette affaire influencera les négociations en cours sur la sphère de sécurité. La protection des données personnelles des citoyens européens est solidement renforcée.