Safe Harbor : le coup de grâce de la CJUE!
Mardi 6 octobre, la Cour de Justice de l’Union Européenne (CJUE) a rendu son arrêt, dans l’affaire C – 362/14 opposant Max Schrems à la Haute Cour irlandaise. Cet étudiant autrichien, utilisateur de Facebook, avait saisi l’autorité de protection de données irlandaise (équivalent de la CNIL en France) pour s’opposer au transfert de ses données personnelles vers les serveurs américains de Facebook. Dans un arrêt fort et symbolique, la Cour a jugé que l’accès aux données à caractère personnel dont disposent les services de renseignement américains constitue une ingérence injustifiée. Ainsi, le régime « Safe Harbor » – dans la mesure où il n’assure pas un niveau de protection adéquat aux données personnelles transférées depuis l’UE aux USA – doit être suspendu. Une vraie victoire dans la lutte contre la course folle à la surveillance de masse. Explications juridiques dans cet article et réaction de Nathalie Griesbeck en vidéo.
Quelle est la législation européenne en matière de transfert de données personnelles vers un pays tiers?
- La Directive Européenne 95/46/CE relative au traitement des données à caractère personnel (actuellement en cours de réforme) dispose que le transfert des données personnelles vers un pays tiers peut uniquement avoir lieu si le pays tiers en question assure un niveau de protection adéquat à ces données (article 25).
- Cette Directive Européenne précise ensuite que la Commission Européenne peut constater qu’un pays tiers assure, en raison de sa législation ou de ses engagements internationaux, un niveau de protection adéquat.
- La Commission Européenne, dans sa décision du 26 juillet 2000, a considéré que, dans le cadre du régime dit Safe Harbor, les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées ; par conséquent, la Commission a autorisé le transfert de données vers les US.
Rappel = Qu’est-ce que le Safe Harbor ?
- Le “Safe Harbour” ou « sphère de sécurité » est un ensemble de principes de protection des données personnelles négocié entre les autorités américaines (Département du Commerce américain) et la Commission Européenne en 2000 (après deux ans de négociations)
- Information / notification des personnes / notification quant à leurs données personnelles
- Possibilité pour la personne concernée de s’opposer à un transfert ou à une utilisation des données pour des finalités différentes
- Consentement explicite pour les données sensibles,
- Droit d’accès et de rectification
- Sécurité des données
- Intégrité des données
- Transfert à des tiers
- Les entreprises établies aux États-Unis peuvent adhérer volontairement au « Safe Harbor », si elles y adhèrent, elles peuvent alors recevoir des données à caractère personnel en provenance de l’UE
- Ces entreprises sont alors « certifiées Safe Harbor » (toute entreprise participant doit ensuite être certifiée tous les 12 mois)
- Le Safe Harbor permet ainsi le transfert de données en provenance de l’Union Européenne vers des entreprises établies aux Etats Unis.
- Le but de l’accord était de fournir un niveau adéquat de protection lors du traitement des données transmises entre les pays et exige que les entreprises américaines auto-certifient qu’elles se conforment aux règles.
- Le Safe Harbor regroupe aujourd’hui presque 4000 entreprises américaines, dont Microsoft, Amazon, Google, Facebook, HP, General Motors, etc.
Quelle était l’affaire en cours devant la CJUE ?
- Schrems est un ressortissant autrichien et réside en Autriche.
- Il est abonné au réseau social Facebook depuis l’année 2008.
- En juin 2013, M. Schrems a donc fait un recours contre Facebook Ireland devant l’autorité irlandaise de protection des données :
- Premièrement, il reproche à Facebook Ireland de violer des lois européennes sur la protection des données personnelles: en effet, tous les abonnés de Facebook résidant sur le territoire européen, signent, lors de leur inscription au réseau Facebook, un « contrat » avec Facebook Ireland (une filiale de Facebook Inc. la compagnie américaine). Les données des abonnés de Facebook Ireland (résidant sur le territoire de l’UE) sont ensuite, transférées sur des serveurs informatiques de Facebook Inc. aux USA, où elles sont conservées.
- Deuxièmement, il questionne le niveau de protection des données aux USA : étant donné les « révélations Snowden » et étant donné que toutes les données personnelles sont mises à la disposition des services de renseignement américains par le biais du programme PRISM, Schrems défend que les USA n’assurent pas un niveau adéquat de protection des données à caractère personnel transférées, notamment contre la surveillance de l’Etat.
- L’affaire a été portée devant la Cour de Justice de l’Union Européenne
L’arrêt de la Cour de Justice de l’Union Européenne (CJUE) ?
A la question « est-ce que les États-Unis garantissent, dans le cadre de Safe Harbor, un niveau de protection adéquat aux données à caractère personnel? », la Cour de Justice a apporté les éléments de réponse suivants:
- L’accès aux données à caractère personnel dont disposent les services de renseignement américains – qui couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données transférées (y compris le contenu des communications), sans qu’aucune différenciation, limitation ni exception – est disproportionné par nature et constitue une ingérence injustifiée par les droits garantis par les articles 7 et 8 de la Charte.
- Le régime « Safe Harbor » tel que défini par la Décision européenne 2000/520 ne contient pas les garanties propres à éviter un accès massif et généralisé aux données personnelles transférées aux États-Unis.
- La décision de la Commission 2000/520 doit donc être déclarée invalide, dans la mesure où on ne peut considérer que le régime Safe Harbor qu’elle instaure assure un niveau de protection adéquat aux données personnelles transférées depuis l’UE aux USA.
- En conséquence, la Commission aurait dû et doit suspendre l’application de la décision 2000/520 et du Safe Harbor.