La Cour de Justice de l'UE annule les accords "Safe Harbour"
Par un arrêt du 6 octobre 2015, la Cour de Justice de l'Union européenne CJUE a annulé les accords dits du "Safe Harbour" qui permettaient le transfert de données à caractère personnel de citoyens européens vers les Etats-Unis. Cette décision s'apparente fort à un cataclysme pour les sociétés comme Facebook et consorts.
Chacun sait que le régime légal européen relatif aux données à caractère personnel est particulièrement favorable aux personnes concernées, qui bénéficient de droits tels que le droit à l'information de l'existence et la finalité de la collecte, le droit d'accéder aux données qui ont été collectées, de les modifier ou les mettre à jour si elles sont erronées ou périmées, voire le droit de s'opposer à toute collecte et tout traitement de ces données.Ce régime est assez unique dans le monde, à l'exception de quelques Etats dans lesquels la protection des données à caractère personnel est jugée "adéquate", c'est-à-dire suffisante, par la Commission européenne, ce qui est le cas notamment de la Suisse, de la Norvège, du Canada ou encore du Liechtenstein. A rebours, les Etats-Unis ne présentent pas un régime juridique aussi protecteur de sorte que, par principe, les transferts de données de citoyens européens vers ce pays est interdit.
Il existe bien des exceptions légales, mais leur portée est assez limitée et c'est la raison pour laquelle en l'an 2000, un accord avait été conclu entre la Commission européenne et la Federal Trade Commission (FTC) aux Etats-Unis, intitulé "Sphère de Sécurité" ou "Safe Harbour" en version originale. Concrètement, cet accord prévoit une liste d'obligations en matière de protection des données à caractère personnel, auxquelles des entreprises privées américaines peuvent choisir d'adhérer et ainsi faire bénéficier les personnes dont les données sont collectées de droits équivalents à ceux en vigueur au sein de l'Union européenne.
Compte tenu de sa simplicité de mise en oeuvre, c'est cet accord du Safe Harbour qui a permis le transfert massif de données à caractère personnel vers des sociétés américaines comme Facebook Inc., par exemple. Jusqu'à ce qu'un étudiant autrichien, Maximillian Schrems, saisisse l'autorité de son pays en matière de protection des données personnelles au motif que Facebook refusait de faire droit à sa demande visant à suspendre tout transfert de ses données vers les Etats-Unis. Selon lui, le Safe Harbour ne pouvait pas avoir de portée effective compte tenu des révélations d'Edward Snowden relativement à la surveillance organisée au plan étatique dans le pays de l'Oncle Sam.
La CJUE a eu à se prononcer sur deux points : le premier consistait à savoir si les autorités nationales de protection des données (comme la CNIL en France) peuvent ou non connaître d'une demande visant à contester la légalité d'un accord tel que le Safe Harbour alors même que la Commission européenne s'est prononcée en sa faveur. La réponse est positive. Selon l'arrêt, "même en présence d'une décision de la Commission (...), les autorités nationales de contrôle, saisies par une personne d'une demande relative à la protection de ses droits et libertés à l'égard du traitement des données à caractère personnel, doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par ladite directive".
Le second point envisagé par la CJUE consistait à déterminer si oui ou non l'accord du Safe Harbour était de nature à présenter des garanties suffisantes et adéquates en termes de protection des données à caractère personnel compte tenu de la faculté de la NSA, entre autres, de prendre connaissance de ces données. La réponse de la plus haute juridiction de l'ordre communautaire est cinglante : "une règlementation permettant aux autorités publiques d'accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée".
La Cour considère que, lorsque la Commission européenne a eu à examiner le texte de l'accord du Safe Harbour, elle aurait dû vérifier que le droit national applicable aux Etats-Unis ne permettait pas une surveillance généralisée : elle aurait dû s'assurer "que le pays tiers concerné assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti dans l'ordre juridique de l'Union".
En ne le faisant pas, la Commission s'exposait à ce que sa décision n° 2000/520 soit annulée, ce qui est désormais le cas, quinze ans après son adoption. Un véritable big bang des données !
On relèvera que ce n'est pas le contenu en tant que tel des principes du Safe Harbour qui sont remis en cause, mais l'environnement juridique dans lequel ils s'insèrent. Toujours est-il qu'en l'état, les entreprises américaines qui ont adhéré aux principes du Safe Harbour et qui ne se fondaient que sur ces principes pour pouvoir transférer des données vers les Etats-Unis se trouvent dans une situation peu enviable puisque les transferts en cause sont en théorie désormais illégaux.
Il leur appartient donc de se placer dans les autres solutions offertes par le droit européen, notamment les clauses contractuelles ad hoc de la Commission européenne ou les Règles internes d'entreprise (BCR), sans oublier les exceptions listées à l'article 69 de la Loi Informatique & Libertés.
Voici donc une décision aux conséquences réellement fondamentales pour toutes les entreprises qui transfèrent des données vers les Etats-Unis !