L’invalidation du Safe Harbor (arrêt Facebook)

Télécharger en PDF

CJUE, aff. C-362/14, ECLI:EU:C:2015:650 (Schrems)

Faits

Le réseau social Facebook transfère tout ou partie des données personnelles de ses utilisateurs (noms, prénoms, photos, mots de passe…) vers des serveurs situés aux Etats-Unis. Maximilien Schrems, ressortissant autrichien et utilisateur de Facebook, estime que le droit américain n’offre pas une protection suffisante de ses données personnelles et demande aux autorités irlandaises d’interdire leur transfert depuis l’UE vers les Etats-Unis. L’autorité de protection des données irlandaise s’estime incompétente pour vérifier une telle requête dès lors qu’elle estime que la Décision 2000/520 de la Commission européenne l’en empêcherait.

Saisie d’un recours par Schrems, la High Court irlandaise décide de sursoir à statuer et pose à la CJUE la question de savoir si les autorités nationales peuvent examiner la légalité d’un transfert de données vers les Etats-Unis.

Droit

Selon l’art. 25 par. 1 de la Directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données (ci-après la Directive 95/46), « le transfert vers un pays tiers de données à caractère personnel […] ne peut avoir lieu que si […] le pays tiers en question assure un niveau de protection adéquat ». L’examen du niveau de protection adéquat s’examine au regard de l’ensemble des circonstances du transfert des données (art. 25 par. 2 Directive 95/46).

Pour éviter que chaque Etat membre doive lui-même procéder à cette appréciation, la Commission peut prendre une décision qui constate de manière générale qu’un Etat tiers assure un niveau de protection adéquat (art. 25 par. 6 Directive 95/46). Cette décision s’impose alors aux Etats membres. La Commission a rendu une telle décision en se basant sur les principes du safe harbor américain (Décision 2000/520). Ces principes ont été développés par les Etats-Unis en collaboration avec la Commission et énumèrent les critères que doivent respecter les entreprises pour pouvoir transférer des données vers les Etats-Unis. Schrems soulève cependant que cette décision ne respecte pas le droit européen et doit être invalidée. La CJUE doit dès lors se pencher sur cette question et examiner si le droit américain assure un niveau de protection adéquat.

A cet égard, la CJUE relève que la Directive 95/46 ne contient pas de définition de la notion de niveau de protection adéquat. Elle considère cependant que la protection de l’Etat tiers n’a pas besoin d’être identique à celle conférée par l’UE, mais doit assurer un niveau de protection équivalent des libertés fondamentales, dont le respect de la vie privée fait partie. A cet effet, les circonstances postérieures à la Décision 2000/520 doivent être prises en compte et la Commission doit examiner périodiquement si la condition du niveau de protection adéquat est respectée.

Dans son appréciation juridique, la CJUE considère que les principes du safe harbor ne sont applicables qu’aux entreprises américaines. Par conséquent, les autorités publiques américaines ne sont pas tenues au respect de ces principes et il n’existe aucune voie de recours en cas de traitement de données par des organisations étatiques. Une telle situation contrevient au principe du recours effectif, inhérent à chaque Etat de droit. En outre, le droit américain prime les principes du safe harbor et peut imposer, sans limite claire, des obligations contraires à ces principes, notamment en cas de sécurité nationale. Par conséquent, la CJUE conclut que la protection déduite du safe harbor n’est pas adéquate. En particulier, un accès généralisé du gouvernement à toutes les données personnelles porte atteinte à l’essence du droit au respect de sa vie privée.

Par conséquent, la Décision 2000/520 de la Commission est invalidée.

Note

Il est intéressant de relever que la CJUE tient pour acquise la surveillance de masse des données par le gouvernement américain (NSA), révélée par Edward Snowden. C’est principalement en se basant sur cet argument qu’elle considère que le safe harbor américain n’assure pas un niveau de protection suffisant.

Comme il s’agit d’une question préjudicielle, l’autorité de protection des données irlandaise doit désormais analyser si Facebook a effectivement transgressé les règles européennes applicables en cas de traitement des données. Le safe harbor n’empêche plus cet examen. En revanche, les conséquences concrètes de cet arrêt sont encore peu claires. Facebook ainsi que les 4500 entreprises américaines ayant adhéré au safe harbor, parmi lesquelles figurent Google, Apple, Microsoft, Twitter ou encore Dropbox, devront-elles arrêter tout transfert de données vers les Etats-Unis et stocker les données personnelles dans l’UE ? Cette question cruciale inquiète de nombreux acteurs numériques.

En Suisse aussi, il existe un accord de safe harbor : le « U.S.-Swiss Safe Harbor Framework ». Cet accord vise également à garantir un niveau de protection équivalent à celui régnant en Suisse pour le transfert de données vers les Etats-Unis et concerne les mêmes sociétés. La protection des données suisse est équivalente à celle européenne, de sorte que si l’une n’est pas assurée aux Etats-Unis, l’autre ne l’est pas non plus. C’est pourquoi le Préposé fédéral à la protection des données et à la transparence a déclaré que la décision de la CJUE allait aussi remettre en cause le safe harbor suisse.

Il faut désormais attendre les réactions des géants du web américains et les développements politiques qui vont certainement aboutir à une renégociation des accords de safe harbor aussi bien dans l’UE qu’en Suisse. En attendant, la Commission européenne devrait édicter des règles encadrant le transfert de données vers les Etats-Unis. Ces lignes directrices devraient pouvoir être reprises en Suisse. Entretemps, les sociétés américaines vont certainement modifier leurs conditions générales pour avertir l’internaute qu’il accepte que ses données personnelles soient transférées aux Etats-Unis où un niveau de protection équivalent n’est pas garanti.

Proposition de citation : Julien Francey, L’invalidation du Safe Harbor (arrêt Facebook), in : www.lawinside.ch/92/

1 réponse

Trackbacks (rétroliens) & Pingbacks

  1. […] Safe Harbor, également sur plainte de Max Schrems (CJUE, 06.10.2015, C-362/14, résumé in : LawInside.ch/92). Les motifs d’invalidation du Privacy Shield sont substantiellement similaires à ceux du Safe […]

Les commentaires sont fermés.