L’arrêt de la Cour de justice, déclarant invalide la décision de la Commission européenne qui considérait que les Etats-Unis assurent un niveau de protection adéquat aux données européennes transférées, accable cette dernière dans sa gestion des transferts et du flux transatlantiques de données. La portée de cet arrêt se mesure au contexte des vingt ans passés.

Par Christophe Clarenc, cabinet Dunaud Clarenc Combles & Associés

La directive européenne 95/46/CE du 24 octobre 1995 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » a été adoptée pour établir un niveau harmonisé et
« élevé » de protection des données personnelles au sein de l’Europe et permettre, sur cette base, leur libre circulation entre les Etats membres et leurs entreprises. L’article 8 de la Charte des droits fondamentaux de l’Union européenne adoptée en décembre 2000 a consacré la valeur éminente de cette protection et du rôle des autorités indépendantes de contrôle à cet effet.

Décision d’adéquation de l’US Safe Harbour
La directive 95/46/CE a considéré que cette protection ne s’opposait pas à des transferts et flux vers des pays tiers, dans le cadre du développement du commerce international, à la condition que ces pays assurent un « niveau de protection adéquat », tout transfert étant et devant être « interdit » à défaut. L’article 25 de cette directive a investi la Commission européenne du pouvoir de « constater » qu’un pays tiers assure ou n’assure pas, ou plus, un niveau de protection adéquat. Par décision 2000/520/CE du 26 juillet 2000, la Commission européenne a « considéré » que « les principes et explications » de la « sphère de sécurité » (US Safe Harbour) présentée par le ministère du Commerce des Etats-Unis assuraient un niveau de protection adéquat
des données personnelles européennes transférées outre-Atlantique à destination des entreprises déclarant adhérer à ces principes et bénéficiant à travers leur adhésion de la « présomption » de niveau de protection adéquat. Cette présomption a été accordée en considération même du principe que l’adhésion « peut être limitée » par « les exigences relatives à la sécurité nationale, l’intérêt public et le respect des lois des Etats-Unis ».
La décision 2000/520 prévoyait une possible « adaptation à tout moment à la lumière de l’expérience acquise durant sa mise en oeuvre et/ou si le niveau de protection assuré est dépassé par les exigences du droit américain ». Elle définissait par ailleurs « les cas » où les « Cnil » nationales « peuvent exercer les pouvoirs dont elles disposent de suspendre les flux de données vers une organisant adhérant aux principes » de l’US Safe Harbour.
Accompagnant la croissance et l’emprise exponentielles des grandes entreprises américaines du secteur des technologies et des services numériques, la sphère de sécurité est devenue le vecteur d’exportation, de stockage et de traitement aux Etats-Unis des données en masse de la société européenne, dont ces entreprises se nourrissent, et un levier de dépendance au système de flux transatlantique ainsi établi, considéré par la Commission européenne comme « le réseau dorsal de l’économie européenne » (1).
En juin 2013, le Guardian et le Washington Post ont publié avec fracas une série de documents internes de la NSA, en charge du renseignement électronique des Etats-Unis, dévoilant l’ampleur de ses programmes de surveillance et de pénétration informatique, ainsi que l’imbrication de ses moyens avec ceux des sociétés américaines sous sa juridiction (2). Ces documents ont révélé l’existence d’un programme « Prism » d’accès aux serveurs hébergeant notamment les données transférées depuis l’UE, et d’accès généralisé à ces données « non-US Persons » sous le régime de la section 702 de loi américaine FISA relative au renseignement étranger (3).

La Commission européenne face à « Prism »
En novembre 2013, la Commission européenne a admis (4) que ces révélations suscitaient des préoccupations concernant la continuité de la protection des données européennes transférées aux Etats-Unis, dès lors que les entreprises participant au programme Prism et permettant aux autorités américaines d’avoir accès aux données stockées et traitées aux USA étaient certifiées dans le cadre de la sphère de sécurité, que celle-ci servait ainsi d’interface pour le transfert des données européennes vers Etats-Unis par des entreprises tenues de remettre des données aux agences américaines de renseignement, et que la sphère de sécurité était donc devenue l’une des voies par lesquelles le renseignement américain avait accès à la collecte des données personnelles initialement traitées dans l’UE.
La Commission européenne a considéré que la sphère de sécurité ne pouvait plus être mise en oeuvre dans son état actuel mais que sa suppression porterait atteinte aux intérêts des entreprises qui en sont membres dans l’UE et aux Etats-Unis. Elle a indiqué vouloir entamer en urgence un dialogue avec les autorités US afin d’examiner les lacunes mises en évidence.
Par résolution du 12 mars 2014, le Parlement européen a réclamé à la Commission européenne de suspendre immédiatement sa décision 2000/520 toujours en vigueur,
et invité les « Cnil » nationales à faire usage de leurs propres compétences pour suspendre sans attendre les flux de données à destination des entreprises ayant adhéré aux principes de l’US Safe Harbour.

Invalidation de l’US Safe Harbour
Un ressortissant autrichien utilisateur de Facebook, Maximillian Schrems, a saisi, dès juin 2013, la « Cnil » irlandaise aux fins de faire interdire à la filiale irlandaise du numéro un des réseaux sociaux ses transferts de données européennes vers les serveurs de sa maison mère Facebook Inc. L’autorité a rejeté sa plainte au motif notamment de l’existence de décision 2000/520 applicable à ces transferts.
Le plaignant a introduit un recours devant la Haute cour de justice irlandaise. Celle-ci
a saisi la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle portant sur le point de savoir si une décision d’adéquation de la Commission européenne, telle la décision 2000/520, avait pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte individuelle alléguant que le pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.
Suivant les conclusions incisives de son avocat général, la CJUE répond dans son
arrêt du 6 octobre 2015 que cela ne fait aucunement obstacle… et invalide la décision 2000/520 de la Commission européenne (5). La Cour affirme que les autorités nationales de contrôle (comme la Cnil en France), saisies d’une plainte, peuvent et doivent, en toute indépendance, même en présence d’une décision de la Commission européenne constatant qu’un pays tiers offre un niveau de protection adéquat, examiner si les transferts de données vers ce pays tiers respectent les exigences de
la législation de l’UE relative à la protection des données et, en présence de doutes sérieux, saisir les juridictions nationales afin que ces dernières procèdent à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision, la CJUE étant seule compétente pour déclarer invalide une telle décision.
La Cour invalide l’article 3 de la décision 2000/520 en cause, en ce qu’il restreint indûment les pouvoirs des autorités nationales de contrôle en cas de contestation individuelle de la compatibilité de la décision avec la protection de la vie privée et
des libertés et droits fondamentaux des personnes.
Enfin, après avoir rappelé que la Commission européenne est tenue de constater que le pays tiers, en l’espèce les Etats-Unis, assurent effectivement – en raison de leur législation interne et de leurs engagements internationaux – un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’UE,
la Cour invalide l’article 1er de la décision en observant qu’il n’opère aucunement une telle constatation en se bornant à présenter la sphère de sécurité et à considérer qu’elle assure un niveau adéquat de protection.
La Cour n’estime pas nécessaire dans ces conditions de vérifier si le régime de la sphère de sécurité assure un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE. Elle relève et souligne cependant, en s’appuyant sur les propres analyses de la Commission européenne dans ses communications de novembre 2013, que ce régime est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités américaines y soient elles-mêmes soumises,
et que les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des Etats-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues dans ce régime lorsqu’elles entrent en conflit avec ces exigences (6).

La Commission européenne au pied du mur
L’arrêt de la CJUE accable ainsi la Commission dans sa gestion en 2000 et a fortiori depuis 2013 des transferts de données depuis l’UE vers les Etats-Unis, en particulier vers les grandes plateformes de stockage et de traitement américaines, et ses rapports de souveraineté et de négociation commerciale avec les Etats-Unis dans ce secteur stratégique.
Et elle la met au pied du mur, non seulement dans sa renégociation de la sphère de sécurité et ses lignes directrices annoncées sur les instruments alternatifs (7), mais également dans les négociations en cours sur le prochain règlement de protection
des données européennes et le volet de convergence numérique du futur traité de commerce transatlantique (Tafta) (8). @