Le 6 octobre dernier, la Cour de justice de l’Union européenne a rendu un arrêt assez retentissant qui met aussi bien en cause la Commission européenne que l’accord de transfert de données à caractère personnel en direction des États-Unis.
Les faits en bref
Un Autrichien, n’appréciant pas la manière dont Facebook traitait certaines de ses données, a saisi l’équivalent de la Cnil en Irlande (siège européen de Facebook). Cette autorité à rejeté sa demande au motif que la Commission avait décidé le 26 juillet 2000 de donner son accord pour le transfert de données à caractère personnel vers les États-Unis, reconnaissant que la « sphère de sécurité » (en américain « Safe harbor privacy principles« ) définie dans ce pays était au moins équivalente au niveau de protection des données dans l’Union européenne de par la directive 95/46/CE (décision 2000/520/CE).
Le plaignant ayant saisi la High Court of Ireland − Cour suprême du pays − contre ce refus, les magistrats ont interrogé la CJUE en vue de savoir si la décision de la Commission empêchait l’autorité de protection des données irlandaise d’examiner au fond les conditions d’un traitement de données.
Une double décision de la Cour
C’est d’abord sur ce terrain que la CJUE réaffirme l’indépendance des autorités de protection, type Cnil, dans les 28 États membres, notamment à l’égard d’une décision de la Commission européenne.
Mais surtout la Cour se livre à l’analyse détaillée des faits ayant conduit à la décision de la Commission reconnaissant le même degré de protection aux États-Unis qu’en Europe, condition essentielle posée par la directive sur la protection des données à caractère personnel pour que des transferts de données soient autorisés vers un État non membre de l’Union.
Elle constate ainsi que le fameux Safe Harbor, n’est qu’un cadre facultatif proposé aux entreprises privées américaines qui n’ont aucune obligation d’y souscrire, et que les pouvoirs publics n’y sont absolument pas soumis. Elle remarque que « les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale« . En conséquence de quoi le niveau effectif de protection des données personnelles est bien inférieur aux États-Unis. La décision de la Commission, n’étant donc pas conforme aux exigences de la directive, est invalidée par le juge suprême européen.
Premiers constats
Cet arrêt va avoir des répercussions innombrables. En voici au moins deux.
D’une part c’est un camouflet à la Commission européenne, prise en flagrant délit de passer des accords qui ne protègent pas les ressortissants européens, notamment vis-à-vis des autorités américaines.
D’autre part, elle met le doigt sur l’énorme différence de respect des données à caractère personnel en Europe et aux États-Unis. Elle suggère en filigrane à ce pays de réviser ses règles de protection s’il veut pouvoir recevoir des données venant des pays de l’Union européenne.
Voir le communiqué de presse de la CJUE sur le site de la Cour (pdf, 225 Ko)
Voir l’arrêt lui-même sur le même site.
