Protection des données

Protection des données personnelles : l’invalidation de l’accord encadrant le transfert aux Etats-Unis

La Cour de justice de l’Union Européenne a lancé une bombe juridique avec sa décision du 6 octobre 2015 en revenant sur la décision de la Commission du 26 juillet 2000 qui précisait que les Etats-Unis assuraient un niveau de protection adéquat lors du transfert de données à caractère personnel.

Il s’agit du transfert de vos données personnelles de l’Union européenne vers les Etats-Unis. Comment cette décision peut-elle impacter les citoyens européens et les entreprises européennes dans leur quotidien digital ? Les citoyens européens, en communiquant via des réseaux sociaux et plus généralement sur internet, confient des données à caractère personnel notamment aux entreprises gérant ces réseaux sociaux ou les sites internet. Le droit européen permet de protéger ces données en établissant des conditions strictes de transfert en dehors de l’espace économique européen. Mais que se passe-t-il lorsqu’une entreprise transfère des données à son siège social basé outre Atlantique ? Est-ce qu’un simple citoyen peut s’opposer à ce transfert ?

L’origine de la décision

Un citoyen autrichien utilisant le réseau social Facebook a déposé une plainte auprès de l’autorité de contrôle basée en Irlande qui procède au transfert des données outre-Atlantique. En effet, le réseau social bénéficie d’une plateforme en Irlande, filiale qui permet de transférer toutes les données à caractère personnel venant d’Europe aux Etats-Unis, pour traitement par le siège social de Facebook.

L’homme avait alors considéré qu’au vu des révélations faites en conséquence de l’affaire Snowden notamment, les Etats-Unis n’offraient pas une protection suffisante de ses données à caractère personnel. Les autorités irlandaises gérant l’affaire ont rejeté sa demande au motif que la Commission européenne avait déjà considéré dans une décision du 26 juillet 2000 que les Etats-Unis permettaient une protection adéquate des données transférées.

Le fonctionnement du Safe Harbor

Cette décision de juillet 2000, instituant ce qui est communément dénommé « Safe Harbor », permettait aux Etats-Unis d’établir une liste d’entreprises qui respectaient la législation européenne imposée par la Directive du 24 octobre 1995 en termes de protection des données à caractère personnel. La certification ainsi obtenue permettait aux entreprises de procéder au transfert des données.
Plusieurs étapes préalables au transfert de données avaient été fixées par la Commission.
En premier lieu, les individus situés dans l’Espace Economique Européen devaient être informés de la collecte des informations les concernant ainsi que de leur potentiel transfert et utilisation.

La Commission a précisé qu’il était fondamental dans l’optique de garantie du respect de la vie privée que les individus concernés puissent refuser le transfert de leurs données ou une utilisation ultérieure non autorisée.

Ensuite, le transfert de données ne pouvait se faire qu’en direction de pays respectant les principes de protection des données à caractère personnel précisés dans la Directive européenne 95/46/CE du 24 octobre 1995. Les individus doivent à tout moment avoir accès à ces données et pouvoir les supprimer ou les modifier s’ils le souhaitent. La certification était valable 12 mois, renouvelable.

Les critiques du système à l’origine de la décision de la Cour de justice

La High Court of Ireland, saisie de la plainte du citoyen autrichien, a sollicité la Cour de justice pour répondre à la question suivante : la décision de la Commission du 26 juillet 2000 a-t-elle pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat ? L’autorité nationale de contrôle peut-elle suspendre le transfert de données contesté le cas échéant ?

En un mot, la Commission européenne ne peut prendre de décision réduisant les pouvoirs des autorités nationales de contrôle.
La Cour de justice étant la seule compétente pour revenir sur une décision de la Commission, elle a précisé d’une part que la décision du Safe Harbor n’empêchait pas le contrôle par les autorités nationales du transfert de données vers un pays un tiers ; d’autre part, elle a déclaré invalide la décision au motif que les Etats-Unis ne se conformaient pas à la Directive sur le traitement des données personnelles.

En effet, les normes européennes auxquelles les Etats-Unis acceptent de se conformer en vertu du Safe Harbor peuvent être légalement mises de côté lors que la sécurité nationale ou l’intérêt public américain est en jeu. Les autorités américaines peuvent demander le transfert des données à caractère personnel obtenues de l’Union européenne au mépris de l’accord conclu. De même, dès lors qu’une législation américaine est contraire aux principes établis par le Safe Harbor, la législation américaine l’emporte.

La Cour de justice de l’Union européenne a considéré que dans ces circonstances en particulier, la garantie de protection des données à caractère personnel ne pouvait pas être assurée par les dispositions envisagées par le système du Safe Harbor.

De plus, la Cour de justice a considéré que la décision de la Commission du 26 juillet 2000 a pour effet de restreindre les pouvoirs des autorités nationales de contrôle, notamment dans le cas où un individu remet en cause la compatibilité de la décision avec la protection de la vie privée.

La décision de la Cour de justice du 6 octobre 2015 procède donc à l’invalidation de la décision de la Commission du 26 juillet 2000.
Les autorités irlandaises de contrôle saisies de la demande du citoyen autrichien concernant le transfert des données vers le siège social de Facebook doivent donc procéder à l’examen de la plainte. Ces autorités nationales de contrôle peuvent dès lors, en tout état de cause, décider de la suspension du transfert des données à caractère personnel vers les Etats-Unis s’il est établi que les Etats-Unis n’offrent pas un niveau de protection adéquat des données personnelles.

Les conséquences de la décision

Dès l’annonce de l’invalidation du Safe Harbor, la Commission européenne a précisé qu’elle travaillait déjà sur un projet dans la continuité de sa première décision. Dans l’attente de cette décision, le flou juridique affecte des dizaines d’entreprises en Europe et aux Etats-Unis, des géants du numérique mais aussi des entreprises de moindre taille.
Le transfert des données personnelles n’est pas suspendu purement et simplement. Dans les faits, il appartient désormais aux autorités nationales de contrôle de déterminer si un transfert particulier de données personnelles est contraire aux normes posées par la Directive.

D’autres mécanismes permettent aux entreprises transnationales de continuer le transfert des données, notamment par le biais d’accords contractuels individuels.
Dans la foulée de la décision de la Cour de justice, la Suisse a également choisi d’invalider son propre accord existant avec les Etats-Unis en précisant que « l’accord […] ne constitue plus une base légale suffisante pour une transmission de données personnelles aux Etats-Unis compatible avec la loi Suisse de protection des données ». Les autorités suisses précisent également que les entreprises doivent assurer par des méthodes contractuelles la conformité des transferts de données à caractère personnel outre Atlantique par rapport au droit national.

Les entreprises transférant des données outre-Atlantique disposent donc de plusieurs méthodes alternatives pour poursuivre leur activité et procéder au transfert de données à caractère personnel. Le nouvel accord en cours d’élaboration par la Commission devrait permettre de mettre fin à cette situation de flou juridique.

De son côté, la Commission Nationale de l’Informatique et des Libertés (CNIL) et ses homologues européens ont demandé aux institutions européennes de prendre les mesures nécessaires afin de trouver des solutions juridiques avant fin janvier 2016.

Par Anne-Marie PECORARO
Avocat, Cabinet Turquoise
http://www.linkedin.com/company/a-t...

deconnecte