La Cour de justice de l’Union européenne (CJUE) a rendu le 6 octobre dernier une décision relative à la protection des données à caractère personnel appelée à faire date (CJUE 6 oct. 2015, Maximillian Schrems c. Data protection Commissioner, aff. C-362/14). Saisie d’une question préjudicielle par la Haute Cour de justice irlandaise, la CJUE conteste le caractère adéquat de la protection, aux États-Unis, des données personnelles des Européens transférées sur le territoire américain et, ce faisant, invalide les principes du Safe Harbor.
Abonné au réseau social Facebook depuis 2008, Maximillian Schrems, étudiant autrichien, avait déposé une plainte entre les mains du commissaire à la protection des données en Irlande le 25 juin 2013 en arguant que les données à caractère personnel qu’il avait communiquées à Facebook, transférées à Facebook Ireland, siège européen de la société, étaient ensuite, en tout ou partie, conservées sur des serveurs situés aux États-Unis. Or, selon le demandeur, à la suite des révélations d’Edward Snowden sur les programmes de surveillance massive des données organisés par les autorités américaines et notamment la National Security Agency (NSA), les données ainsi transférées sur le territoire des États-Unis ne bénéficieraient d’aucune protection réelle contre la surveillance étatique. Partant, il conviendrait d’interdire à Facebook Ireland de transférer les données à caractère personnel qu’elle détient, vers les États-Unis.
Le commissaire a refusé d’enquêter sur la plainte en se prévalant d’une absence de fondement juridique et de preuve que la NSA ait eu accès aux données de Maximillian Schrems. Il s’appuie, en outre, sur la décision de la Commission européenne 2000/520/CE du 26 juillet 2000 relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis, qui garantissent un niveau de protection adéquat des données à caractère personnel par les entreprises qui adhèrent à ces principes. Cette adéquation de la protection des données, garantie par un texte européen, empêcherait le commissaire d’examiner la plainte qui vise justement à remettre en question le niveau de protection des données.
Schrems saisit alors la Cour de justice irlandaise de deux questions en interprétation : la première revient à demander si le commissaire à la protection des données, saisi d’une plainte visant à remettre en question le caractère adéquat de la protection des données transférées vers un pays tiers, est lié par la constatation contraire contenue dans la décision 2000/520. La seconde interroge la Cour sur la possibilité pour le commissaire de mener sa propre enquête quant au niveau de protection offert dans ce pays tiers.
La Cour décide, d’une part, sur le fondement de la directive 95/46/CE, des articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne, que la décision 2000/520/CE par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat « ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre […] examine la demande d’une personne relative à la protection de ses droits et libertés, à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat ».
La Cour décide, d’autre part, que « la décision 2000/520/CE est invalide ».
La CJUE a suivi les conclusions très détaillées de l’avocat général, M. Yves Bot, présentées le 23 septembre dernier. Elle rappelle ainsi que les autorités de contrôle nationales sont indépendantes et, en tant que telles, doivent bénéficier de pouvoirs leur permettant d’examiner si le transfert des données vers un pays tiers respecte les exigences posées par la directive 95/46/CE et ce, même en présence d’une constatation effectuée par la Commission de l’adéquation de la protection accordée (décis., § 53, 54 et 57).
En d’autres termes, les principes de la « sphère de sécurité » ne constituent pas un blanc-seing valable ad vitam aeternam. Bien au contraire, la CJUE élève le niveau de protection des données à caractère personnel en énonçant que le niveau de protection des données dans un pays tiers doit faire l’objet d’une évaluation régulière en fonction des évolutions juridiques et factuelles (décis., § 76).
Plus précisément, la Cour rappelle, à l’instar de la Commission européenne (communication COM(2013) 847 final), que « les autorités américaines pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers les États-Unis et traiter celles-ci d’une manière incompatible, notamment avec les finalités de leur transfert, et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale » (décis., § 90).
La Cour en déduit, à juste titre, qu’une réglementation américaine qui autorise de telles pratiques comporte une ingérence dans les droits fondamentaux garantis par les articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne, soit le droit à la protection de la vie privée, le droit à la protection des données à caractère personnel et le droit à une protection juridictionnelle effective (décis., § 91, 92, 93 et 95).
Ce constat était inévitable. Depuis qu’Edward Snowden a révélé l’étendue de la surveillance exercée par les autorités publiques américaines, personne ne pouvait plus ignorer la collecte globale et indifférenciée des données transférées vers les États-Unis ainsi que l’absence de justifications à leur collecte.
Ce constat était également attendu depuis longtemps. Il constitue un réel soulagement. Loin des débats passionnés et souvent creux, loin des discours politiques et exercices diplomatiques mous, une instance européenne, indépendante, pourvue d’une autorité légitime et certaine, réagit et s’oppose à la violation par un État tiers du droit à la vie privée et à la protection des données des citoyens européens.
La Cour tire ensuite une conclusion logique du raisonnement juridique qu’elle a déroulé en invalidant la décision portant les principes du Safe Harbor : les États-Unis ne garantissent plus un niveau de protection adéquat des données, il est inutile de prétendre que c’est le cas en se prévalant d’une adhésion à des principes aujourd’hui dénués de toute valeur. Bien que parfaitement justifiée, la décision peut surprendre car la Cour de justice était saisie d’une question préjudicielle et donc d’une question en interprétation. En invalidant un texte européen dans le cadre de cette procédure, elle fait usage d’une prérogative dont elle use de manière seulement exceptionnelle. Cela donne indéniablement une force supplémentaire à la décision. La CJUE abonde ainsi dans le sens du requérant et va même au-delà.
Ce sont donc aujourd’hui, plus de 3 000 sociétés ayant adhéré aux principes du Safe Harbor, parmi lesquelles figurent Google, Yahoo ! et Apple, qui sont potentiellement touchées par cette décision. On ne peut qu’inciter les internautes à présenter le même type de demande que celle de Maximillian Schrems.
Quant à Facebook, directement visé par la plainte du ressortissant autrichien, la décision de la Cour de justice ne suffit pas à mettre fin aux transferts que la société américaine opère depuis l’Irlande vers les États-Unis. La Haute Cour de justice irlandaise devra, à la lumière de la décision du 6 octobre, statuer sur ce point précis. Sauf évènement inattendu, elle donnera vraisemblablement raison à Maximillian Schrems.
Cette décision de la Cour de justice de l’Union européenne représente, d’une part, la première condamnation juridique par la plus haute instance judiciaire européenne des pratiques de surveillance massive pratiquées par les autorités publiques américaines. Elle constitue, d’autre part, la première sanction juridique de ces pratiques en invalidant l’accord qui lie l’Union européenne et les États-Unis sur les transferts de données à caractère personnel, depuis près de quinze ans.
La réponse européenne face aux pratiques américaines s’est fait attendre, mais, elle est extrêmement forte car raisonnée, formulée à la lumière des droits fondamentaux consacrés au sein de l’Union européenne et assortie de réelles conséquences juridiques. Les médias français et étrangers ne s’y sont pas trompés en donnant immédiatement un large écho à cette décision.
La décision commentée, à la fois courageuse et réaliste, confirme la pertinence d’actions judiciaires déjà portées devant les autorités nationales. En France, aux côtés de nos confrères Patrick Beaudouin, Michel Tubiana et Clémence Bectarte, nous avons déposé une plainte avec constitution de partie civile, au nom de la Fédération internationale des ligues des droits de l’homme (FIDH) et de la Ligue des droits de l’homme (LDH) contre la NSA, notamment du chef de violation du droit à la vie privée et de collecte déloyale et illicite de données à caractère personnel. Cette plainte, qui repose sur des fondements juridiques similaires, a vocation à bénéficier de la décision européenne et à prospérer, puisque l’on voit mal comment le juge, même pénal, pourrait s’affranchir de l’autorité de la décision commentée.