Dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) vient de conclure à l’invalidité de la décision 2000/520 du 26 juillet 2000 de la Commission européenne relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité« , dite décision « Safe Harbor » (CJUE, 6 octobre 2015, C-361/14).

Cette décision, qui fait l’effet d’un coup de tonnerre, remet en cause les modalités actuelles de transfert des données vers les Etats-Unis.

A l’origine de cette affaire, un utilisateur de Facebook avait saisi le Commissaire irlandais à la protection des données (équivalent de la CNIL), en contestant les modalités de conservation par Facebook Ireland des données de ses abonnés irlandais sur des serveurs situés aux Etats-Unis. Le Commissaire avait néanmoins refusé de diligenter une enquête, s’estimant lié par la décision de la Commission du 26 juillet 2000, qui jugeait adéquat le niveau de protection accordé par les Etats-Unis aux données personnelles stockées sur son territoire. Saisie d’un recours contre cette décision, la Haute cour de justice irlandaise a posé à la CJUE la question de savoir si une autorité nationale de protection des données était liée par une décision de l’Union constatant l’existence d’une protection adéquate, ou si elle pouvait ou devait, malgré l’existence d’une telle décision, diligenter sa propre enquête.

Sur le premier point, la Cour répond clairement qu’une décision de la Commission européenne ne peut réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle. Celles-ci peuvent donc diligenter des contrôles en toute indépendance.

Mais elle va plus loin. Alors même que cette question ne lui était pas posée, la CJUE a examiné la décision de la Commission du 26 juillet 2000, considérant que la question préjudicielle qui lui était posée mettait en cause directement sa validité. Et elle conclut à son invalidation, pour plusieurs motifs :

• une décision autorisant le transfert de données vers un pays-tiers ne saurait être figée dans le temps : ce qui était valable en 2000 ne l’est plus nécessairement aujourd’hui ;
• par ailleurs, à la lettre de cette décision, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois américaines l’emportent sur le régime de la sphère de sécurité, ce qui permet aux autorités américaines des ingérences. La Cour considère, à cet égard qu’une « réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée » ;
• enfin, l’absence de possibilité d’exercer ses droits d’accès, de rectification et de suppression est pour le titulaire des données une atteinte à son droit au recours effectif.

Cet arrêt aura de lourdes conséquences en matière de transfert de données personnelles vers les Etats-Unis. La question de la mise en conformité des traitements de données conformes au Safe Harbor se pose dès à présent. Plus de 3.000 sociétés américaines, qui avaient adhéré à ce principe, sont concernées. L’une des solutions qu’elles pourront retenir, pour adapter leurs pratiques, pourra être la mise en œuvre d’une politique contractuelle contraignante, telle que les « Binding corporate rules« . Mais une réflexion plus globale doit être menée pour substituer au dispositif Safe Harbor une autre approche. C’est le sens de la position commune adoptée par le G29 le 15 octobre 2015 : les institutions européennes et les Gouvernements concernés sont invités à trouver des solutions juridiques et techniques avant le 31 janvier 2016.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Julie Tamba, avocat en droit de la Propriété Intellectuelle et droit commercial