Schrems et Safe Harbor, révélateurs des enjeux liés à la protection des données personnelles

/
Publié le 20 octobre 2015
Par .

Les données personnelles sont de plus en plus exploitées à une échelle industrielle et mondiale, dans le secteur privé pour leur potentiel commercial et par les gouvernements pour des programmes de surveillance. Le 6 octobre 2015, la Cour de justice de l’union européenne (la « Cour ») a rendu, dans l’affaire « Schrems », une décision emblématique pour leur…

Les données personnelles sont de plus en plus exploitées à une échelle industrielle et mondiale, dans le secteur privé pour leur potentiel commercial et par les gouvernements pour des programmes de surveillance. Le 6 octobre 2015, la Cour de justice de l’union européenne (la « Cour ») a rendu, dans l’affaire « Schrems », une décision emblématique pour leur assurer un haut niveau de protection.


Qu’est-ce que l’affaire Schrems ?

Tout d’abord, il convient de rappeler le contexte. La protection des données personnelles est un droit fondamental en vertu de l’article 8 de la charte des droits fondamentaux de l’Union européenne, intimement lié au respect de la vie privée, prévu à l’article 7.

La directive 95/46/CE du 24 octobre 1995, qui régit en détail les traitements de données personnelles, prévoit que l’envoi de données hors d’Europe est soumis à conditions, destinées à assurer un niveau de protection des données adéquat par rapport aux standards européens. Les moyens les plus courants sont les clauses contractuelles types (ou « standard contractual clauses – SCC ») et les règles contraignantes d’entreprises (ou « binding corporate rules – BCR »).

Le désormais fameux « Safe Harbor » ou sphère de sécurité, est une autre option, applicable aux échanges avec les Etats Unis. Il a été considéré comme adéquat par décision n° 2000/520 de la Commission européenne du 26 juillet 2000. En pratique, il s’agit d’une auto-certification : les entreprises américaines qui adhèrent au Safe Harbor s’engagent à respecter un cahier des charges, qui doit en principe les hisser à un niveau de protection conforme aux exigences du droit européen en la matière.

En 2013, après les révélations de Edward Snowden sur les pratiques de surveillance des autorités américaines, notamment de la NSA, M. Schrems a introduit une plainte auprès de l’autorité de protection des données irlandaise (le « Commissioner »), lieu d’établissement de Facebook en Europe. M. Schrems demandait au Commissionner d’interdire à Facebook de transférer ses données personnelles aux Etats-Unis, au motif que les Etats-Unis n’assuraient pas un niveau de protection adéquat.

L’autorité irlandaise a rejeté la plainte, notamment parce que Facebook est labellisé Safe Harbor, label validé par la Commission européenne. M. Schrems a contesté ce rejet devant les tribunaux irlandais. La High Court irlandaise a alors soumis à la Cour la question de savoir si l’autorité nationale était liée par la décision d’adéquation prise par la Commission européenne, ou si elle pouvait effectuer sa propre investigation, notamment sur la base de faits postérieurs.

Le jugement de la Cour a purement et simplement invalidé la décision de la Commission. Cette décision rend illégaux, du jour au lendemain, tous les transferts de données personnelles aux Etats-Unis effectués sous ce régime ! La Cour rappelle en outre aux autorités nationales de protection qu’il leur revient de participer activement à l’application effective des règles de protection.

Exigence d’une protection effective et conforme aux standards européens

L’alerte lancée sur les pratiques américaines de collecte massive d’informations pouvait-elle remettre en cause la légalité des transferts de données entre l’Europe et les Etats-Unis, ou les questionnements resteraient-ils dans la sphère politique, sans emporter d’effets juridiques concrets ?

La Cour a tranché : oui, l’actualité en 2013 aurait dû conduire la Commission à revoir sa décision de validation du Safe Harbor qui datait de 2000 – d’autant plus qu’elle-même avait constaté des insuffisances, et publié à ce sujet deux communications COM(2013)846 final et COM(2013)847 final le 27 novembre 2013. Bien plus, la Cour relève que la décision de la Commission était problématique dès l’origine, pour plusieurs raisons.

Tout d’abord, la Cour relève un contexte qu’elle semble considérer comme peu favorable : un cahier des charges rédigé par le seul ministère du commerce américain, et un système d’auto-certification, qui ne peut être fiable qu’assorti de mécanismes effectifs de surveillance et de sanction.

Ensuite, elle constate que la Commission européenne s’est contentée d’auditer le contenu des obligations prévues au cahier des charges, et non pas leur inclusion dans l’ordre juridique américain.  A cet égard, la Cour constate deux insuffisances majeures : d’une part, une primauté illimitée des lois américaines sur les règles du Safe Harbor et, d’autre part, une possibilité illimitée pour les lois américaines de déroger à ces règles pour des raisons de sécurité nationale, intérêt public ou autre législation interne. En outre, la Cour constate l’absence de tout recours effectif contre ces interférences.

Or, le respect de la vie privée implique que toute exception à la protection des données personnelle doit être « strictement nécessaire » (§92). Il s’agit là d’une jurisprudence que la Cour avait déjà développée dans sa décision relative à la directive 2006/24 sur la conservation des données (affaires C-293/12 et C-594/12), qu’elle cite à plusieurs reprises dans ce jugement. Un traitement de données généralisé « sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif » poursuivi, n’est pas limitée au strict nécessaire et n’est donc pas conforme au droit européen (§93). La Cour précise encore que le pouvoir d’appréciation de la Commission était réduit et que son contrôle devait être strict, en raison de l’enjeu – protéger le droit fondamental à la vie privée – et du nombre de personnes concernées par les transferts transatlantiques.

En d’autres termes, le Safe Harbor ne s’applique que dans la mesure permise par les lois américaines. La Cour constate d’ailleurs que les autorités américaines ne sont pas tenues de respecter le Safe Harbor, ce qui signifie qu’elles ont toute latitude pour mettre en œuvre des règles contraires.

En conséquence, la Cour décide que les Etats-Unis n’assurent pas « effectivement, en raison de [leur] législation interne ou de [leurs] engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte » (§73). La décision de la Commission, entérinant le Safe Harbor, est donc déclarée invalide.

Montée en puissance des autorités nationales

La décision Schrems confirme la montée en puissance des autorités nationales de protection des données pour la mise en œuvre pratique des principes de protection. La Cour procède en deux temps.

D’une part, les autorités nationales ne sont pas compétentes pour invalider une décision de la Commission européenne. La Cour admet donc que le Commissioner irlandais ne pouvait pas résoudre le cas qui lui était soumis.

En revanche, si elles détectent une non-conformité, il leur revient de la faire remonter, via les juridictions nationales, jusqu’à la Cour de justice, seule compétente pour se prononcer sur la validité d’une telle décision. En ce sens, l’autorité irlandaise aurait dû, non pas rejeter la plainte de M. Schrems, mais saisir les tribunaux.

Dans l’arrêt récent Weltimmo (affaire C-230/14), rendu le 1er octobre 2015, la cour a affirmé que l’autorité nationale de protection des données dispose d’un pouvoir de contrôle sur les activités locales des entreprises, même si elles ne sont pas établies dans ce pays, sous condition d’une présence minimale dans le pays. La décision Schrems confirme l’importance du rôle des autorités nationales dans l’application des règles en matière de données personnelles.

Et après ?

En disqualifiant le Safe Harbor, la Cour force la main des institutions, qui doivent trouver une solution pérenne et, dans l’intervalle, organiser la période intermédiaire.

Incertitudes

Le Safe Harbor ne peut plus servir de base aux transferts transatlantiques. Cela sera sans doute la conclusion de la High Court irlandaise, pour résoudre in fine cette affaire Schrems contre Fracebook. La décision doit être rendue le 20 octobre 2015.

Le 16 octobre 2015, les autorités nationales, réunies dans le « groupe de l’article 29 » (G29), ont appelé la Commission et les Etats membres à trouver un accord avec les Etats-Unis d’ici janvier 2016. Dans l’intervalle, le G29 considère que les autres outils, tels que clauses types (SCC) et règles d’entreprise contraignantes (BCR), peuvent être utilisés – précisant toutefois que leur conformité doit être examinée, et que les autorités nationales peuvent être saisies pour enquêter au cas par cas. Il convient de préciser que des voix commencent à s’élever pour disqualifier également les clauses types – notamment l’une des autorités régionales allemandes (Schleswig Holstein).

Il faut espérer qu’une position commune au G29 se dégage rapidement, afin de ne pas aggraver le risque pour les entreprises concernées de voir leur responsabilité mise en cause, alors qu’une première action vient d’être introduite contre Facebook en Allemagne par une organisation de consommateurs.

Si aucun accord n’est trouvé d’ici janvier 2016 et en fonction des résultats des travaux du G29, les autorités nationales prendront les mesures nécessaires et appropriées, au besoin par des mesures d’exécution. Cela pourrait signifier que des transferts, même couverts par des SCC ou des BCR, soient contestés. L’onde de choc de l’affaire Schrems pourrait donc toucher l’ensemble des échanges transatlantiques de données personnelles.

Incidence sur les travaux en cours

La décision aura un impact sur les discussions relatives au futur règlement européen sur la protection des données. Le projet prévoit évidemment des règles de transferts internationaux. Il augmente fortement les sanctions applicables en cas de non-conformité et renforce les obligations dans toute la chaîne des traitements de données personnelles, dans le but notamment d’atteindre les services de cloud computing. Les débats sur les compétences des autorités nationales de protection risquent de ne pas s’atténuer.

Par ailleurs, il convient de citer le « Umbrella agreement » conclu avec les Etats-Unis le 8 septembre 2015, permettant aux Européens de saisir la justice américaine pour faire valoir leurs droits à la protection de leurs données personnelles dans le cadre des échanges de données par les autorités judiciaires et de police de part et d’autre de l’océan Atlantique – une fois en vigueur, il pourrait être retenu comme un élément positif pour apprécier le niveau de protection des Etats-Unis.

Lise Breteau

Avocate – Barreau de Paris

www.breteau-legal.fr