Invalidation du Safe Harbor par la CJUE : et maintenant qu’allons-nous faire ?

Publié le 09/10/2015 - CIO Online - E. Papin

Pour  lire l’article d’Etienne Papin du 12 octobre 2015 pour CIO Online.

Du jour au lendemain, pour ainsi dire, on découvre que 480 000 véhicules Volkswagen mis en circulation sur le territoire américain n’auraient pas dû s’y trouver…

Du jour au lendemain, on découvre maintenant que bon nombre des données personnelles des Européens envoyées sur le territoire américain n’auraient jamais dû y aller… En effet, par sa décision du 6 octobre 2015, déjà largement commentée dans la grande presse, la Cour de Justice de l’Union Européenne (CJUE) vient d’invalider le régime juridique dit du « Safe Harbor » (« sphère de confiance » en Français).

Les deux affaires n’ont rien avoir entre elles, mais elles frappent toutes deux l’esprit pour les mêmes raisons : leur soudaineté et la difficulté pratique d’avoir à rétablir une situation factuelle devenue illicite.

La transmission des données personnelles vers les USA s’opère de manière systématique et massive entre les filiales européennes des groupes américains et leur maison mère. C’est notamment en application du régime du « Safe Harbor » que les données personnelles des citoyens européens pouvaient être rendues accessibles à des sociétés américaines, autrement dit, transmises vers le territoire américain.

Feu le Safe Harbor

Pour comprendre le dénouement que vient de donner la CJUE à cette affaire, il faut remonter 20 ans en arrière, presque jour pour jour.

Le 24 octobre 1995, le Parlement européen adopte une directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive avait vocation à harmoniser le droit des Etats membres en prenant pour principe que les informations relatives aux individus, lorsqu’elles sont mises sous forme informatique, méritent une protection contre des usages que l’on pourrait craindre attentatoires aux libertés individuelles. Il y aurait beaucoup à dire sur ce présupposé mais il est aujourd’hui tenu pour acquis.

Le problème des données informatiques est qu’elles sont par essence facilement transmissibles, ce que la directive de 1995 n’avait peut-être pas totalement anticipé, alors que nous n’étions qu’aux balbutiements de l’internet grand public. Sans parler du « cloud computing » qui allait arriver 20 ans plus tard.

Constatant qu’en dehors de l’Union Européenne, bien peu de pays offraient une telle législation protectrice, l’article 25 de la directive a posé l’interdiction de « transférer » des données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection « adéquat ». Les Etats-Unis font partie de ces pays qui ne sont pas considérés par l’Union Européenne comme offrant ce niveau de protection.

Mais comme il n’était pas envisageable pour les pays européens de vivre dans un vase clos numérique, ce principe d’interdiction au transfert hors Union européenne a été assorti de plusieurs exceptions. Ainsi, principalement, le transfert des données hors de l’Union Européenne pouvait s’opérer : avec l’accord « indubitable » de la personne concernée ; ou dans le cadre d’un contrat de transfert entre l’émetteur des données en Europe et le destinataire de données aux Etats-Unis (à condition que ce contrat soit conforme à des modèles adoptés par la Commission européenne) ; ou encore dans le cadre du « Safe Harbor » aujourd’hui invalidé.

Le Safe Harbor est un mécanisme d’auto-certification par lequel une société américaine s’engage à traiter les données personnelles des Européens en conformité avec les standards de protection existant en Europe. 5 479 sociétés américaines ont adhéré au Safe Harbor. Ce mécanisme très largement utilisé a été mis en œuvre à la suite d’un accord entre la Commission Européenne et le Département du Commerce américain dans le cadre d’une décision de la Commission Européenne 2000/520/CE du 26 juillet 2000.

C’était l’état du droit jusqu’au 6 octobre 2015.

 L’affaire Schrems

C’est l’opiniâtreté d’un utilisateur autrichien de Facebook qui provoque le cataclysme.

Les données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union sont, en tout ou en partie, transférées par Facebook Ireland, avec laquelle les utilisateurs européens de Facebook contractent lors de leur inscription, vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis. Ce transfert est (on devrait dire était) rendu possible en application du Safe Harbor dont Facebook Inc. est adhérente.

A la suite des révélations d’Edward Snowden sur les « écoutes » pratiquées par la NSA, M. Schrems a demandé au commissaire irlandais à la protection des données personnelles d’enjoindre à Facebook Ireland de mettre un terme à ce transfert. Le commissaire en question a refusé de faire droit à la demande du ressortissant autrichien et l’affaire a été portée devant la juridiction irlandaise compétente.

La Cour irlandaise soulève une situation paradoxale. Elle constate que le droit au respect de la vie privée garanti par les valeurs essentielles communes aux États membres, serait privé de toute portée si les pouvoirs publics étaient autorisés à accéder aux communications électroniques de manière aléatoire et généralisée sans aucune justification objective fondée sur des raisons de sécurité nationale ou de prévention de la criminalité, liées spécifiquement aux individus concernés, et sans que ces pratiques soient entourées de garanties adéquates et vérifiables.

La Haute Juridiction irlandaise a souligné que les autorités américaines comme la NSA ou le FBI pouvaient accéder aux données personnelles dans le cadre de la surveillance et des interceptions indifférenciées qu’ils pratiquent à grande échelle. Dès lors, la Cour irlandaise émet des doutes sérieux sur le fait que les USA présentent un niveau de protection « adéquat » au sens de la directive.

Or, la décision la décision 2000/520 de la Commission ayant institué le « Safe Harbor » considère que le transfert de données réalisé vers les Etats-Unis dans ce cadre offre ce niveau de « protection » adéquat.

Que faire donc face à ce paradoxe ? La Cour irlandaise est-elle tenue par la décision 2000/520 ? Comme le droit de l’Union le lui permet, les juges irlandais ont saisi la CJUE d’une demande d’interprétation.

Le caractère remarquable de l’arrêt de la CJUE tient au fait que, répondant à la question qui lui est posée par le juge irlandais, les juges européens en profitent pour invalider la décision 2000/520 et le Safe Harbor qui va avec.

Un port qui n’avait de sûr que le nom

La CJUE reconnaît d’abord que, nonobstant l’existence de la décision de la Commission reconnaissant la protection « adéquate » instituée par le Safe Harbor, les autorités nationales de contrôle (en France la Cnil) peuvent contrôler les transferts de données à caractère personnel vers des pays tiers ayant fait l’objet d’une telle décision.

La CJUE constate ensuite qu’opérer ce contrôle revient en fait à s’interroger sur la légitimité de la décision 2000/520 elle-même, ce que la CJUE seule est en droit de faire au regard des traités européens.

15 ans après la décision ayant institué le Safe Harbor, la CJUE est donc conduite à apprécier sa validité. La Cour va se livrer à une critique sans appel du mécanisme qui avait été accepté par la Commission.

Elle constate notamment que la décision 2000/520 rend possible des ingérences, fondées sur la sécurité nationale des États-Unis, dans les droits fondamentaux des personnes dont les données à caractère personnel sont transférées depuis l’Union Européenne vers les États-Unis. Elle constate également que la législation américaine autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée.

Elle conclut que la Commission n’a pas fait état, dans la décision 2000/520, de ce que les États-Unis d’Amérique « assurent » effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux.

Elle invalide donc purement et simplement la décision ayant fondé le « Safe Harbor »

Et maintenant ?

Ce n’est pas la première fois que la CJUE invalide une décision d’une instance de l’Union Européenne. C’est là une de ses fonctions.

Selon sa jurisprudence établie, en principe, un arrêt préjudiciel constatant l’invalidité d’un acte a un effet rétroactif. La Cour dispose du droit de limiter les effets dans le temps d’une déclaration d’invalidité lorsque des considérations impérieuses de sécurité juridique s’opposent à ce que des situations juridiques qui ont épuisé leurs effets dans le passé soient remise en cause.

Mais, et c’est le second « chocs » créé par l’arrêt, dans sa décision du 6 octobre, la Cour n’a pas organisé les effets dans le temps de sa décision. Elle invalide purement et simplement le Safe Harbor.

Il en résulte nécessairement que toutes les données personnelles se trouvant actuellement aux USA en application du Safe Harbor… n’ont pas le droit d’y être. Et comme Volkswagen va devoir remettre aux normes 480 000 véhicules, les dépositaires américains de ces données devraient tout simplement… les détruire.

De ce côté-ci de l’Atlantique, la conséquence immédiate de l’arrêt du 6 octobre 2015 est que tout transfert de données réalisé en application du Safe Harbor doit être stoppé. Mais comme la vie et les relations transatlantiques continuent, vers quelle solution se tourner ?

Comme nous l’avons évoqué, on peut organiser des transferts de données vers un pays n’offrant pas un niveau de protection adéquat par la signature des « clauses types » entre expéditeur et destinataire des données. Mais les critiques qui ont été faites par la CJUE au Safe Harbor nous semblent pareillement pouvoir être faites à l’encontre des décisions de la Commission ayant institué les clauses en question. Leur validité est donc également clairement sujette à caution.

Le vice vient du fait que les Etats-Unis, fondamentalement, n’offrent pas un niveau de protection « adéquat » des données personnelles. Des mécanismes fondés sur le contrat ne pourront pallier les lacunes d’une législation foncièrement intrusive.

La décision de la CJUE a en réalité le mérite de rappeler les instances politiques et législatives à la réalité de l’application des principes juridiques qu’ils adoptent.

Au lendemain de la décision du 6 octobre 2015, l’Europe est redevenue une citadelle numérique dont les données n’ont plus le droit de sortir… en théorie.

Autres publications