L’Avocat Général Yves Bot a rendu le 23 septembre 2015 ses conclusions devant la Cour de justice de l’Union européenne (CJUE) dans une affaire C-362/14. Verdict: le Safe Harbor (ou « sphère de sécurité) » – sur lequel sont fondés une immense partie des transferts de données personnelles en provenance de l’Union européenne vers des entreprises basées aux Etats-Unis – pourrait bien être invalide. Ce constat intervient dans le contexte des révélations d’Edward Snowden sur le programme « PRISM ».

Pour mémoire, la protection des données personnelles est assurée dans l’Union européenne par la directive 95/46/CE, telle que transposée dans chaque Etat membre par une législation spécifique. Cette directive pose une interdiction de principe des transferts de données personnelles hors du territoire de l’Union, principe tempéré toutefois par la possibilité de procéder à de tels transferts (i) librement vers les pays tiers ayant été reconnus par la Commission comme fournissant une protection adéquate ou (ii) sous réserve de mettre en place des garanties spécifiques – en particulier contractuelles – vers les autres pays. Les Etats-Unis ne font pas partie des destinations offrant une protection (comprendre: une législation) adéquate, cependant la Commission a admis dans une décision 2000/520 du 26 juillet 2000 que les règles du Safe Harbor – proposées par le département du commerce américain et respectées par certaines entreprises américaines sur la base d’un engagement volontaire en ce sens (liste disponible ici) – offraient une telle protection adéquate et permettaient ainsi les transferts de données.

C’est sur la base du Safe Harbor que la filiale irlandaise de Facebook transférait à sa maison mère les données des utilisateurs européens pour stockage. A la suite des révélations sur l’accès par la NSA aux données des utilisateurs européens stockées sur le territoire américain, ce transfert a fait l’objet d’une plainte par un utilisateur de Facebook auprès du commissaire irlandais à la protection des données. Cette plainte invitant à enquêter sur le niveau de protection garanti par l’intermédiaire des principes du Safe Harbor, le commissaire l’a dans un premier temps rejetée au motif qu’il était tenu par le constat de l’Union fait en ce sens, matérialisé par la décision 2000/520. Saisie de ce rejet, la Haute cour irlandaise a dans un second temps soulevé devant la CJUE une question visant à interpréter les dispositions de la directive 95/46/CE, et en particulier à statuer sur la possibilité pour le commissaire irlandais d’enquêter sur le niveau de protection offert par un pays tiers alors même que la Commission européenne aurait affirmé son caractère adéquat. L’Avocat général s’est prononcé en faveur de cette possibilité qu’il justifie par la nécessité de garantir les droits fondamentaux des citoyens de l’Union européenne, spécialement leur droit au respect de la vie privée et à la protection de leurs données personnelles, explicitement cités par les articles 7 et 8 de la Charte des droits fondamentaux.

En outre, et là réside tout l’intérêt de la décision, l’Avocat général invite la CJUE à se saisir d’office de la question de la validité même de la décision 2000/520. A cet égard il indique avoir constaté l’existence d’une ingérence dans les droits fondamentaux des citoyens européens, laquelle ne respecte pas les principes de nécessité et de proportionnalité. Concrètement cette ingérence résiderait dans la possibilité – offerte par la décision 2000/520 – de déroger aux principes du Safe Harbor pour des considérations aussi larges que « les exigences relatives à la sécurité nationale, l’intérêt public et le respect des lois des Etats-Unis » , sans qu’un contrôle d’une telle dérogation ni un droit de recours effectif ne soient garantis. Fort de ce constat, l’Avocat général invite donc la CJUE à conclure à l’invalidité de la décision 2000/520.

Il y a fort à parier que ces conclusions ont pour objectif de rappeler au Congrès américain l’importance de tels transferts de données personnelles pour son économie et de donner de ce fait l’impulsion nécessaire au vote du « Judicial Redress Act » , texte visant à accorder aux citoyens européens des droits équivalents à ceux des citoyens américains dans le cadre du traitement de leurs données personnelles par les autorités américaines. Elles pourraient également avoir pour objectif de pousser la Commission européenne à réformer rapidement le régime du Safe Harbor, tout en lui apportant des pistes de réflexion. Toutefois, il ne saurait être exclu que la CJUE suive les conclusions de l’Avocat général, et la question d’une mise en conformité pour les transferts en place, ou à tout le moins la prise de précaution s’agissant de transferts envisagés, sera alors inévitable.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Julie Tamba, avocat en droit de la Propriété Intellectuelle et droit commercial