La Cour de justice de l’Union européenne (Curia) aura bien suivi les conclusions du 23 septembre 2015 de son avocat général, Yves Bot, dans l’affaire C-362/14, qui opposait l’autrichien Max Schrems à la filiale irlandaise de Facebook, et n’aura pas cédé aux pressions politiques américaines.
Schrems avait mis en cause auprès de l’autorité irlandaise de contrôle, Office of the Data Protection Commissioner, le transfert de ses données personnelles sur les serveurs américains du réseau social, considérant qu’au vu des révélations faites en 2013 par Edward Snowden sur les activités de la National Security Agency, le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays.
L’autorité irlandaise avait rejeté la plainte au motif que dans le cadre du régime de la « sphère de sécurité » ou Safe Harbor, la Commission européenne avait dans sa décision 2000/52/CE du 26 juillet 2000, estimé que les États-Unis assuraient un niveau adéquat de protection aux données à caractère personnel transférées. Schrems avait alors saisi la Haute Cour de justice irlandaise, qui a demandé à la Curia par renvoi préjudiciel si cette décision de la Commission empêchait une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.
Dans son arrêt de ce jour, la Cour estime que l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la Charte des droits fondamentaux de l’Union européenne et de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Même en présence d’une décision de la Commission, les autorités nationales de contrôle, saisies d’une demande, doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive. Comme la Curia est seule compétente pour constater l’invalidité d’un acte de l’Union, tel qu’une décision de la Commission, une autorité nationale doit pouvoir renvoyer l’affaire devant la Curia.
Cette dernière justifie l’arrêt notamment parce que les entreprises américaines participant à la sphère de sécurité, sont tenues par le droit américain d’écarter, sans limitation, les règles de protection prévues par ce régime, quand elles entrent en conflit avec les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis.
La Cour ajoute qu’une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques, tout comme une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, doivent être considérées comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé.
L’autorité irlandaise est donc tenue d’examiner la plainte de Schrems, et au terme de son enquête, de décider si le transfert des données des abonnés européens de Facebook vers les États-Unis doit être suspendu.
Comme nous l’avons déjà noté, la portée de cet arrêt ne saurait être minimisée. Elle remet en cause l’existence du Safe Harbor, et conduira les entreprises exportant des données personnelles à l’extérieur de l’Union européenne à réviser leur stratégie et leur politique de confidentialité des données personnelles.