Archive

Protection des données personnelles

L’invalidation de l’accord « Safe Harbor » entre l’Union européenne et les États-Unis

Créé le

22.10.2015

-

Mis à jour le

27.10.2015

La CJUE a précisé le rôle des autorités nationales de contrôle en matière de protection des données personnelles et a par ailleurs relevé que les États-Unis n’offrent pas un niveau de protection adéquat permettant le transfert de ces données au départ de l’Union européenne. Il en résulte l’invalidation de la décision 2000/520 de la Commission européenne à l’origine du Safe Harbor.

L’invalidation de l’accord « Safe Harbor » entre l’Union européenne et les États-Unis
Pierre-Yves Bérard
  • Responsable des affaires juridiques du pôle International Retail Banking Groupe BNP Paribas

La Cour de Justice de l’Union européenne, dans sa décision du 6 octobre 2015 [1] , a invalidé l’accord Safe Harbor entre les États-Unis et l’Union européenne (UE). Cet accord résultait de la décision 2000/520/CE de la Commission européenne, du 26 juillet 2000, rendue conformément aux dispositions de l’article 25 paragraphe 6 de la directive 95/46/CE [2] . Il avait pour objet de déterminer les conditions du transfert de données à caractère personnel de l’UE vers des entreprises situées aux États-Unis et adhérant aux principes du Safe Harbor [3] . Les États membres de l’UE sont en effet tenus de veiller à ce que les transferts de données personnelles vers un pays tiers n’aient lieu qu’à la condition que ledit pays assure un niveau de protection adéquat. Un tel niveau était reconnu, aux termes de la décision 2000/520/CE, si les organisations concernées aux États-Unis respectent les principes du Safe Harbor visés à l’annexe I de cette décision et appliqués conformément aux orientations fournies par les FAQ (frequently asked questions) publiées le 21 juillet 2000 par le ministère du Commerce des États-Unis [4] .

L’arrêt de la CJUE du 6 octobre 2015 fait suite à deux autres décisions récentes de la Haute Cour européenne ayant trait à la protection des données personnelles. L’arrêt Digital Rights Ireland [5] du 8 avril 2014 a déclaré invalide la directive 2006/24/CE [6] sur la conservation de données par les fournisseurs de services de communications électroniques ou de réseaux publics de communication. Cette directive visait à garantir la disponibilité de ces données à des fins de prévention, détection et poursuite des infractions graves liées notamment à la criminalité organisée et au terrorisme. Les données afférentes au trafic, à la localisation, ainsi que celles permettant d’identifier l’abonné ou l’utilisateur, devaient être conservées à l’exclusion des informations relatives au contenu de la communication. La Cour n’en a pas moins considéré qu’en imposant la conservation de ces données et en en donnant l’accès aux autorités nationales compétentes, la directive s’immisçait de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, ces droits étant garantis par la charte des droits fondamentaux de l’UE. La Cour a relevé que le législateur de l’Union avait manqué au respect du principe de proportionnalité, l’ingérence dans les droits fondamentaux en cause n’étant pas suffisamment encadrée afin de la limiter au strict nécessaire. Les griefs à cet égard étaient multiples : (i) l’ensemble des individus, des moyens de communication électronique et des données concernant le trafic, étaient concernés sans différenciation ou limitation en fonction de l’objectif de lutte contre les infractions graves ; (ii) aucun critère objectif ne permettait de garantir que les autorités nationales n’utiliseraient pas les données à d’autres fins que la répression des infractions graves ; (iii) les critères pour la détermination de la durée de conservation des données, de 6 à 24 mois, n’étaient pas fixés ; (iv) les fournisseurs de services pouvaient tenir compte de considérations économiques pour déterminer le niveau de sécurité appliqué pour empêcher l’utilisation illicite des données ; et (v) la directive n’imposait pas une conservation des données sur le territoire de l’UE, ce qui ne permettait pas de garantir le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante.

Le deuxième arrêt rendu récemment par la CJUE en matière de protection des données personnelles se rapporte au droit à l’oubli numérique. Dans sa décision Google Spain du 13 mai 2014 [7] , la Cour retient que la personne concernée doit démontrer son droit à ce que l’information en question n’apparaisse plus liée à son nom dans le cadre d’une recherche effectuée à partir de son nom. Ce droit tient à l’absence de conformité du traitement de cette information avec les dispositions de la directive 95/46/CE [8] , même si l’information est licite. Il n’est donc pas requis pour le demandeur d’apporter la preuve que l’information porte atteinte à son honneur ou sa réputation. La personne concernée ne peut toutefois invoquer son droit à l’oubli numérique si « l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question ». Google a certes mis à disposition sur son site un formulaire permettant d’exercer le droit à l’oubli, mais une appréciation au cas par cas de chacune des requêtes doit être effectuée par les moteurs de recherche.

La CJCE, au travers de ces décisions en matière de protection des données personnelles, s’affirme en tant que gardienne des droits visés dans la charte des droits fondamentaux de l’UE (ci-après, la « Charte »), le droit à l’oubli étant érigé en droit fondamental aux termes de l’arrêt Google Spain. L’arrêt du 6 octobre 2015 de la CJUE s’inscrit dans cette tendance et porte également sur le respect des droits fondamentaux au travers d’une part du rôle des autorités nationales de contrôle, et d’autre part de la vérification du caractère adéquat du niveau de protection offert par le pays tiers, en l’occurrence les États-Unis. Cette décision a des conséquences importantes au regard notamment de la présence aux États-Unis de nombreux acteurs de l’économie numérique.

Le rôle des autorités nationales de contrôle

Maximilian Schrems est un ressortissant autrichien résidant en Autriche, utilisateur du réseau social Facebook depuis 2008. Inquiet des déclarations d’un représentant Facebook sur la protection des données personnelles [9] , puis des révélations effectuées par Edward Snowden concernant les activités des services de renseignement des États-Unis, celles de la National Security Agency (NSA), il déposa une plainte auprès du commissaire irlandais à la protection des données personnelles. En effet, tout utilisateur de Facebook conclut un contrat avec Facebook Irlande, filiale de Facebook Inc. aux États-Unis, dont les serveurs hébergent l’ensemble des données des utilisateurs de Facebook de par le monde.

Le commissaire irlandais rejeta la plainte comme étant dépourvue de fondement au motif qu’aucune preuve n’était apportée du transfert à la NSA des données de l’intéressé, et qu’en tout état de cause, le caractère adéquat de la protection des données personnelles aux États-Unis devait être tranché en conformité avec la décision 2000/520 de la Commission européenne. Or celle-ci avait constaté un niveau adéquat de protection.

Saisie d’un recours, la High Court (Haute Cour de Justice) considéra que l’affaire concernait le droit de l’Union, que la décision 2000/520 de la Commission ne satisfaisait pas aux exigences de la Charte des droits fondamentaux, et qu’était en cause la légalité de cette décision. La High Court posa les questions préjudicielles suivantes : le commissaire à la protection des données, saisi d’une plainte quant au transfert de données aux États-Unis qui n’offrirait pas une protection adéquate de celles-ci, est-il absolument lié par la constatation contraire de l’Union contenue dans la décision 2000/520 ? Dans le cas contraire, peut-il ou doit-il mener sa propre enquête ?

La réponse de la CJUE est sans ambiguïté et est argumentée de la façon suivante :

  • l’institution d’autorités nationales de contrôle indépendantes est un élément essentiel du respect de la protection des personnes au regard du traitement de leurs données, un juste équilibre devant être trouvé entre le respect du droit fondamental à la vie privée et les intérêts qui commandent une libre circulation des données personnelles ;
  • les autorités nationales disposent de pouvoirs à cet égard tels qu’énumérés de façon non exhaustive à l’article 28, paragraphe 3, de la directive 95/46. Ces pouvoirs ne peuvent être exercés sur le territoire d’un État tiers, mais le transfert des données vers un pays tiers est en lui-même un traitement de données effectué sur le territoire de l’État membre ;
  • le chapitre IV de la directive 95/46 (« Transfert de données à caractère personnel vers des pays tiers ») est complémentaire du régime général instauré par le chapitre II de ladite directive (« Conditions générales de licéité des traitements de données à caractère personnel »). L’article 25, paragraphe 1, n’autorise un transfert vers un pays tiers que si celui-ci assure « un niveau de protection adéquat ».
  • La constatation de ce niveau adéquat peut être faite par un État membre ou la Commission. Une décision de celle-ci, tant qu’elle n’a pas été invalidée par la CJUE, a un caractère contraignant pour les États membres destinataires en application de l’article 288, quatrième alinéa, TFUE.
  • Il n’en demeure pas moins qu’une décision de la Commission, telle celle ayant établi le Safe Harbor, n’a pas pour effet d’annihiler ou réduire les pouvoirs des autorités de contrôle nationales prévus à l’article 8, paragraphe 3 de la Charte et à l’article 28 de la directive 95/46.
  • En conséquence, soit l’autorité de contrôle nationale considère que la demande qui lui est faite n’a pas de fondement et alors le demandeur est en droit d’exercer un recours devant les juridictions nationales qui peuvent effectuer un renvoi préjudiciel devant la CJUE, soit l’autorité en question juge la demande fondée et doit faire valoir ses griefs devant les juridictions nationales qui pourront effectuer un renvoi préjudiciel auprès de la CJUE.
Restait, pour la CJUE, à se prononcer sur la validité de la décision 2000/520 de la Commission au regard du caractère adéquat du niveau de protection offert aux États-Unis.

Le caractère adéquat du niveau de protection offert aux États-Unis

La CJUE définit la nature du contrôle devant être exercé quant au niveau de protection adéquat, avant d’analyser ce niveau aux États-Unis.

Un contrôle strict du niveau de protection adéquat

La Cour relève qu’aux termes de l’article 25, paragraphe 6, de la directive : « La Commission peut constater […] qu’un pays tiers assure un niveau de protection adéquat […] en raison de sa législation interne ou de ses engagements internationaux […] en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes ». La directive ne définit cependant pas la notion de niveau de protection adéquat, l’article 25, paragraphe 2, disposant tout au plus que « Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ». Sont ensuite énumérées de façon non exhaustive les circonstances concernées qui dépendent de « la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées ».

Il n’en demeure pas moins que, selon la CJCE, un contrôle strict des exigences découlant de l’article 25 de la directive, lu à la lumière de la Charte, doit être effectué en raison à la fois du rôle important de la protection des données personnelles au regard du droit fondamental au respect de la vie privée, et du nombre important de personnes impliquées en cas de transfert de leurs données vers un pays tiers n’assurant pas un niveau de protection adéquat.

Le niveau de protection offert aux États-Unis

La CJUE relève plusieurs facteurs qui l’amènent à considérer que le niveau de protection aux États-Unis dans le cadre du Safe Harbor n’est pas substantiellement équivalent à celui garanti au sein de l’UE :

  • les principes du Safe Harbor sont uniquement applicables aux organisations autocertifiées aux États-Unis, sans que les autorités américaines soient soumises au respect de ces principes ;
  • la décision 2000/520 de la Commission consacre la primauté des « exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des États-Unis » sur les principes du Safe Harbor ;
  • une ingérence dans le droit fondamental au respect de la vie privée peut être établie même si les informations considérées ne présentent pas un caractère sensible ou si les intéressés n’ont pas subi d’inconvénient en raison de cette ingérence ;
  • la décision 2000/520 ne fait pas état de l’existence d’une protection juridique efficace contre de telles ingérences. Notamment, l’arbitrage privé et les procédures devant la Commission fédérale du commerce sont limités aux litiges commerciaux. Ils ne peuvent être mis en œuvre dans le cadre de litiges relatifs à la légalité d’ingérences dans les droits fondamentaux résultant de mesures étatiques. Dès lors, une atteinte au droit fondamental à une protection juridictionnelle effective est caractérisée ;
  • surtout, une dérogation à la protection des données personnelles doit s’opérer dans les limites du strict nécessaire. Or, une réglementation permettant aux autorités publiques de se faire communiquer les données « sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreinte » ne remplit pas cette condition. Une telle dérogation porte ainsi atteinte au droit fondamental au respect de la vie privée.
La Commission européenne avait elle-même effectué une appréciation similaire de la situation résultant de la mise en œuvre du Safe Harbor dans ses communications COM (2013) 846 final et COM (2013) 847 final du 27 novembre 2013. Elle n’en avait cependant pas tiré les conséquences en annulant sa décision 2000/520 ou en en suspendant l’application. Cela est chose faite avec l’arrêt de la CJUE en date du 6 octobre 2015 qui invalide la décision 2000/520. Cet arrêt emporte des conséquences économiques importantes.

Les conséquences de l’invalidation de l’accord Safe Harbor

L’arrêt de la CJUE du 6 octobre 2015 ouvre la voie à une décision de la Haute Cour de Justice irlandaise qui vraisemblablement déclarera que le niveau de protection offert aux États-Unis n’est pas adéquat et qu’en conséquence les transferts de données personnelles effectués par Facebook vers ce territoire sont prohibés. Au-delà de Facebook, des sociétés telles que Google, Apple, Amazon ou Yahoo ! seront affectées par cette décision de la CJUE. L’Avocat général, dans ses conclusions à propos de l’affaire ayant donné lieu à l’arrêt de la CJUE, rappelle qu’en 2013 le nombre d’entreprises certifiées « Safe Harbor » dépassait le chiffre de 3 200 [10] .

L’impact économique de cette décision de la CJUE est donc important. Désormais, les entreprises désireuses de transférer les données personnelles de leurs clients vers les États-Unis devront soit se fonder sur l’une des dérogations visées à l’article 26, paragraphe 1, de la directive 95/46, y compris l’accord de la personne concernée [11] , soit sur les clauses contractuelles de la Commission ou les règles contraignantes d’entreprises.

Les clauses contractuelles sont prévues au paragraphe 2 de l’article 26 précité aux termes duquel un transfert ou un ensemble de transferts vers un pays tiers n’assurant pas un niveau de protection adéquat peuvent être autorisés par un État membre lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes. Ces garanties résultent notamment de clauses contractuelles appropriées. La Commission européenne a établi à cet égard des clauses type pouvant être insérées dans les contrats. L’insertion de ces clauses ne permet cependant pas aux organisations concernées de se soustraire à l’obligation d’obtenir l’accord de l’autorité de contrôle nationale compétente, en l’occurrence la CNIL en France.

Les règles contraignantes d’entreprises, ou binding corporate rules, sont une autre forme de sécurisation du transfert de données permettant de répondre aux exigences posées au paragraphe 2 de l’article 26 de la directive 95/46. Ces règles, qui reprennent tous les droits des personnes concernés et les principes posés par la directive 95/46, doivent être respectées par l’ensemble des entités d’un groupe d’entreprises.

Les conditions du transfert de données personnelles vers les États-Unis sont ainsi devenues beaucoup plus contraignantes que par le passé lorsque l’adhésion aux principes du Safe Harbor était suffisante. Il en résulte des incertitudes quant aux autorisations de transfert de ces données vers les États-Unis, chaque autorité nationale pouvant avoir une approche du sujet lui étant propre. C’est même potentiellement une remise en cause des avancées vers un marché unique numérique [12] si les 28 États membre de l’UE ont des approches différentes des conditions de transfert des données personnelles en dehors des frontières de l’Europe.

Des négociations sont cependant en cours entre les États-Unis et l’UE concernant tant le partenariat transatlantique de commerce et d’investissements (PTCI) [13] que l’accord sur les échanges d’informations judiciaires ou « Umbrella Agreement » [14] . Le PTCI vise notamment le renforcement de la libre circulation des données entre les entreprises européennes et américaines. Mais surtout, il est prévu que l’Umbrella Agreement ne sera signé puis soumis au Conseil sur proposition de la Commission et au Parlement européen qu’après l’adoption du US Judicial Redress Bill par le Congrès américain. Or ce texte a pour objet de permettre à des ressortissants européens d’exercer aux États-Unis des recours judiciaires au cas où leurs données personnelles auraient été illégalement transmises à des agences gouvernementales [15] . L’adoption de ce US Judicial Redress Bill est un prérequis pour la mise en place d’un « Safe Harbor 2 » qui corrigerait les dérives relevées par la CJUE dans son arrêt du 6 octobre 2015. Tous les espoirs sont donc permis pour que le vide juridique créé par l’invalidation de la décision 2000/520 de la Commission soit prochainement comblé !

 

 

 

1 CJUE 6 oct. 2015, aff. C-362/14.
2 Directive 95/46/CE du 24 octobre 1995 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Aux termes de l’article 25, paragraphe 6, «  la Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes ».
3 Ces principes sont également dénommés, en français, les principes de la « sphère de sécurité ».
4 Cf. annexe 2 de la décision 2000/520/CE.
5 CJUE 8 avril 2014, arrêt dans les affaires conjointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger et al.
6 Directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.
7 CJUE 13 mai 2014, Google Spain, affaire C-131/12.
8 Cf. art. 12 b) et art. 14 a) de la directive 95/46/CE.
9 Cf. interview de Maximilian Schrems, Le Monde du 7 août 2014.
10 Conclusions de l’Avocat général M. Yves Bot dans l’affaire C-362/14, point 13.
11 L’art. 26, paragraphe 1 de la directive 95/46 vise six dérogations : a) le consentement de la personne concernée ; b) la nécessité du transfert de données  pour l’exécution d’un contrat entre la personne concernée et le responsable du traitement ; c) la nécessité du transfert en vue de l’exécution d’un contrat, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ; d) le transfert nécessaire ou obligatoire pour la sauvegarde d’un intérêt public important ou l’exercice d’un droit en justice ; e) la sauvegarde de l’intérêt vital de la personne concernée ; f) le transfert au départ d’un registre public.
12 Cf. les 16 initiatives de la Commission européenne en vue de la création du marché unique numérique. Communiqué de presse de la Commission en date du 6 mai 2015.  La stratégie pour le marché unique repose sur trois domaines d’action ou « piliers » : l’amélioration de l’accès aux biens et services numériques ; la création d’un environnement propice au développement des réseaux et services numériques, la maximisation du potentiel de croissance né de l’économie numérique.
13 Le 14 juin 2013, le Conseil de l’Union européenne, qui réunit les chefs d’État et de gouvernement des États membres de l’Union, a confié à la Commission européenne un mandat pour mener les négociations avec les États-Unis en vue d’aboutir à un accord transatlantique de commerce et d’investissements. Sept cycles de négociation ont déjà eu lieu.
14 Les États-Unis et l’Union européenne ont finalisé leurs négociations en vue de l’échange d’informations judiciaires. Cf. le «  Fact Sheet » de la Commission européenne en date du 8 septembre 2015.
15 The Judicial Redress Act would « designate foreign countries or regional economic integration organizations whose natural citizens may bring civil actions under the Privacy Act of 1974 against certain U.S. government agencies for purposes of accessing, amending or redressing unlawful disclosures of records maintained by an agency ».

À retrouver dans la revue
Revue Banque Nº789
Notes :
11 L’art. 26, paragraphe 1 de la directive 95/46 vise six dérogations : a) le consentement de la personne concernée ; b) la nécessité du transfert de données  pour l’exécution d’un contrat entre la personne concernée et le responsable du traitement ; c) la nécessité du transfert en vue de l’exécution d’un contrat, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ; d) le transfert nécessaire ou obligatoire pour la sauvegarde d’un intérêt public important ou l’exercice d’un droit en justice ; e) la sauvegarde de l’intérêt vital de la personne concernée ; f) le transfert au départ d’un registre public.
12 Cf. les 16 initiatives de la Commission européenne en vue de la création du marché unique numérique. Communiqué de presse de la Commission en date du 6 mai 2015.  La stratégie pour le marché unique repose sur trois domaines d’action ou « piliers » : l’amélioration de l’accès aux biens et services numériques ; la création d’un environnement propice au développement des réseaux et services numériques, la maximisation du potentiel de croissance né de l’économie numérique.
13 Le 14 juin 2013, le Conseil de l’Union européenne, qui réunit les chefs d’État et de gouvernement des États membres de l’Union, a confié à la Commission européenne un mandat pour mener les négociations avec les États-Unis en vue d’aboutir à un accord transatlantique de commerce et d’investissements. Sept cycles de négociation ont déjà eu lieu.
14 Les États-Unis et l’Union européenne ont finalisé leurs négociations en vue de l’échange d’informations judiciaires. Cf. le « Fact Sheet » de la Commission européenne en date du 8 septembre 2015.
15 The Judicial Redress Act would « designate foreign countries or regional economic integration organizations whose natural citizens may bring civil actions under the Privacy Act of 1974 against certain U.S. government agencies for purposes of accessing, amending or redressing unlawful disclosures of records maintained by an agency ».
1 CJUE 6 oct. 2015, aff. C-362/14.
2 Directive 95/46/CE du 24 octobre 1995 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Aux termes de l’article 25, paragraphe 6, « la Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes ».
3 Ces principes sont également dénommés, en français, les principes de la « sphère de sécurité ».
4 Cf. annexe 2 de la décision 2000/520/CE.
5 CJUE 8 avril 2014, arrêt dans les affaires conjointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger et al.
6 Directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.
7 CJUE 13 mai 2014, Google Spain, affaire C-131/12.
8 Cf. art. 12 b) et art. 14 a) de la directive 95/46/CE.
9 Cf. interview de Maximilian Schrems, Le Monde du 7 août 2014.
10 Conclusions de l’Avocat général M. Yves Bot dans l’affaire C-362/14, point 13.