Les Etats-Unis sont-ils en mesure
de garantir un niveau de
protection adéquat des données
à caractère personnel venant de l’UE?

la Cour de Justice a jugé que les principes de la sphère de sécurité
(Safe Harbor Framework) pour le transfer des données
à caractère personnel venant de l'UE sont invalides.

Le lundi 6 Octobre 2015, la Cour de Justice de l’UE à Luxembourg (ci-après «la Cour de Justice»), a jugé sous forme de réponse à une question préjudicielle (dans son arrêt C-362/14 Protection Maximillian Schrems / Data protection Commissioner) que la décision de la Commission européenne, dans laquelle celle-ci avait constaté que les Etats-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées, était nulle.

Cette décision est importante car de nombreuses entreprises opérant dans l'UE ont besoin d’un transfert de données aux Etats-Unis et sont donc ciblées directement.

1.    Le fonctionnement du « Safe Harbor Framework »

Conformément à l'article 25 de la Directive européenne concernant la vie privée 95/46/CE (la Directive sur la protection des données), les données à caractère personnel ne peuvent être transférées de l'UE vers un pays tiers, que si ce pays assure un «niveau adéquat de protection».

La Commission a prévu par une décision du 26 juillet 2000 (2000/520/CE), conformément à l'article 25, paragraphe 6 de la Directive européenne sur la vie privée, un niveau adéquat de protection par le biais d’un mécanisme, à savoir des principes de la sphère de sécurité (Safe Harbor Principles) et les lignes directrices y afférentes (questions fréquemment posées) publiées par le Ministère du Commerce (Federal Trade Commission) des États-Unis.

Ce mécanisme donne un consentement particulier aux entreprises pour le transfert des données à caractère personnel de l'UE vers des entreprises aux Etats-Unis qui sont membres du programme, à condition qu'elles s’engagent, au travers d’une auto-certification et d’une auto-évaluation sans équivoque et de façon publique, de respecter les principes de la sphère de sécurité conformément aux lignes directrices.

Entre autres des sociétés comme Facebook ou Google qui stockent des données à caractère personnel sur des serveurs aux États-Unis ou d'autres sociétés qui stockent des données à caractère personnel dans le Cloud sur des serveurs situés aux Etats-Unis, ont approuvé les principes de la sphère de sécurité et possédaient dès lors des certificats nécessaires garantissant la protection des données à caractère personnel venant de l’UE aux États-Unis.


2.    La Cour juge que la sphère de sécurité (Safe Harbor Framework) EU-US est invalide

2.1    Les faites

L'étudiant doctorant autrichien, M. Maximillian Schrems, utilisait Facebook depuis 2008. Les données fournies par M. Schrems sur Facebook ont été, comme de nombreux autres abonnés qui résident dans l'UE, transférées entièrement ou partiellement par la filiale irlandaise Facebook Inc. Ireland à la maison mère Facebook USA, dont les serveurs sont situés sur le territoire des États-Unis, où elles sont traitées.

Dans la foulée des révélations du dénonciateur Edward Snowden en 2013, notamment sur la pratique aux États-Unis de surveillance en masse des données transmises à ce pays par les services d’espionnage, M. Schrems a déposé une plainte auprès du régulateur irlandais en raison d'un manque de «protection adéquate» des données à caractère personnel aux États-Unis.

Toutefois, l'autorité irlandaise a refusé de faire une enquête sur la plainte, en se fondant sur la décision de la Commission (2000/520/CE) selon laquelle les États-Unis assurent, dans le cadre dudit règlement de la sphère de sécurité (Safe-Harbor Framework), un niveau adéquat de protection des données transférées.

M. Schrems a ensuite introduit un pourvoi devant la Cour Suprême irlandaise (High Court), qui a alors posé deux questions à la Cour de Justice. La Cour a dès lors dû examiner si la décision 2000/520/CE dans le cadre des articles 7 et 8 de la Charte des droits fondamentaux peut empêcher les autorités nationales de contrôle de l'UE
(i) d'enquêter sur une plainte pour déterminer si un pays tiers offre un niveau adéquat de protection; et
(ii) de suspendre le transfert des données à caractère personnel si elles considèrent que le niveau de protection ne suffit pas.

2.2    L’argumentation de la Cour de Justice

La Cour a décidé de déclarer la sphère de sécurité (Safe Harbor Framework) invalide.

Le raisonnement de la Cour est expliqué ci-dessous de manière simplifiée.

La Cour analyse tout d’abord l'article 25, paragraphe 6 de la Directive sur la protection des données au regard de la Charte des droits fondamentaux de l'UE, en particulier du droit fondamental à la vie privée et du droit à la protection des données à caractère personnel (articles 7 et 8 de la Charte des droits fondamentaux de l'UE) et du droit à un accès efficace et impartial à la justice (article 47 de la Charte des droits fondamentaux de l'UE).

Elle conclut que l'existence d'une Décision de la Commission n’est pas un obstacle pour les pouvoirs gouvernementaux nationaux de faire des enquêtes en toute indépendance pour déterminer si le transfert des données d'une personne vers un pays tiers est en conformité avec les exigences de la Directive sur la vie privée.

Ensuite, la Cour se réfère aux conclusions de l'avocat général Bot, présentées le 23 septembre 2015, dans lesquelles il affirme que l'article 25, paragraphe 6 de la directive sur la protection des données à caractère personnel prévoit de maintenir le haut niveau de protection lors du transfert de données à caractère personnel vers un pays tiers.

Il est évident qu’on ne peut pas attendre d’un pays tiers qu’il garantisse la même protection offerte au sein de l'UE, mais le pays tiers doit au moins appliquer de manière générale une «protection adéquate» similaire.

Ensuite, la Cour arrive à la conclusion que les principes de la sphère de sécurité (Safe Harbor Principles») s’appliquent uniquement aux entreprises qui y ont consenti, sans qu’il ne soit exigé que les autorités publiques des États-Unis soient tenues de respecter les principes en question.

En outre, les exigences de sécurité nationale, d’intérêt public et de maintien de l’ordre aux États-Unis ont priorité sur les règles de la sphère de sécurité (Safe Harbor Principles). La conséquence est que les entreprises américaines sont tenues, en cas de conflit avec ces exigences, de déroger sans limitation aux règles de protection.

La Cour se réfère dans son analyse à l’évaluation critique de la Commission qui a constaté en 2013 que les autorités américaines étaient en mesure d’avoir accès aux données à caractère personnel transférées par les États membres et de les traiter d'une manière incompatible avec les objectifs pour lesquels elles avaient été transmises et qu’ils sont allés plus loin que ce qui était strictement nécessaire et proportionné pour la protection de la sécurité nationale.

La Cour condamne également le fait que les personnes concernées n’aient aucun recours administratif ou judiciaire afin d’obtenir l'accès aux données et encore moins de les corriger ou de les supprimer.

La Cour souligne que l'article 25, paragraphe 6 de la Directive sur la vie privée exige une décision motivée de la Commission, selon laquelle le pays tiers en question offre effectivement des garanties pour la protection des droits fondamentaux.

La Cour constate que, n’est pas limité au strict nécessaire, une règlementation, qui autorise d’une manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l'UE vers les États-Unis, sans qu’aucune différenciation, limitation ou exception ne soit opérée en fonction de l’objectif poursuivi et sans qu’il ne soit prévu de fournir un critère objectif permettant de délimiter l'accès des autorités publiques aux données et leur utilisation ultérieure.

La Cour ajoute qu’une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental du respect de la vie privée.

2.3    Les conséquences de l’arrêt au niveau national et international et comment faut-il agir de façon proactive?

Etant donné qu’il s’agissait d’une question préjudicielle devant la Cour de Justice et que l’affaire est maintenant renvoyée à la juridiction nationale, il sera intéressant de suivre la procédure pendante devant la High Court irlandaise.

Entre-temps et jusqu'à une nouvelle décision, aucune entreprise ne peut plus baser le transfert des données à caractère personnel UE vers les États-Unis sur la décision de la Commission concernant la sphère de sécurité  (Safe Harbor Framework).

Toutefois, l'article 26 de la Directive sur la vie privée prévoit encore d'autres dérogations dans le cadre du transfert de données à caractère personnel vers des pays tiers (y compris les Etats-Unis) - même si ce pays ne fournit pas une protection adéquate – à condition que les responsables du traitement des données personnelles répondent entre autres aux conditions suivantes:

avoir reçu indubitablement le consentement de la personne concernée;

faire usage des dispositions du contrat type de la Commission avec le destinataire des données dans le pays tiers;

mettre en œuvre un règlement d'entreprise contraignant.

Mais dans la pratique, il se révèle que ces dérogations ne sont pas toujours aussi faciles à appliquer.

Les clauses contractuelles modèles n’empêchent pas une instance nationale de contrôle d’enquêter sur les plaintes individuelles et donc de les contrôler au regard des droits fondamentaux. Des règlements d'entreprise contraignants pourraient apporter une solution, mais exigent souvent un temps considérable et sont seulement intéressants pour un groupe sélect d'entreprises (internationales).

Dans un communiqué de presse du 16 octobre 2015 du Groupe de Travail de l’article 29, ces dispositions contractuelles types ainsi que des règles d’entreprise contraignantes ont encore été acceptées sous les réserves faites ci-dessus.

Le groupement appelle quand même les décideurs politiques à prévoir une «solution adéquate» pour fin janvier 2016. La Commission de la vie privée belge se réfère dans un communiqué de presse du 16 Octobre 2015 à la position du Groupe de Travail de l’article 29 et organisera en premier lieu un forum le 27 Novembre 2015 avec les parties prenantes afin d’obtenir de bonnes solutions réalisables à court terme.

Le Groupe de Travail de l’article 29 est un groupement influent de toutes les autorités nationales assurant la protection des données dans l'UE.

Nous rappelons que Groupe de travail de l'article 29 a déjà donné en 1998 une explication de ce que le terme «protection adéquate» peut signifier, tant au niveau du contenu (l'utilisation restreinte de l’information aux objectifs, la proportionnalité, la transparence, le respect du droit d'accès à l'information) qu’au niveau procédural (soutien suffisant et aide à l'individu objet de données).

Les principes existent déjà, donc en théorie cela peut aller vite, mais cela dépendra principalement des négociations entre l’UE (et ses états membres) et les Etats-Unis pour trouver une solution politique, juridique et technique.

19 octobre 2015

Jan Vanbeckevoort - jan.vanbeckevoort@peeters-law.be
Griet Verfaillie - griet.verfaillie@peeters-law.be

En savoir plus sur ce sujet: inscrivez-vous à notre Newsletter

E-mail *


   
  La clause d'earn-out dans la convention d'achat d'actions  
  Les PME mieux informées sur le droit belge de la concurrence  
  Prix de transfert - Obligations complémentaires de déclaration  
  Règlement Général sur la Protection des Données (RGPD) Principaux changements  
  Nouvelle procédure pour le recouvrement de dettes incontestées en B2B  
  Carnet de route concernant des fusions et acquisitions en Belgique (1° partie)  
  Carnet de route concernant les fusions et acquisitions en Belgique (2° partie)  
  Obligation de notification en cas d'une violation de données à caractère personnel  
  Le délégué à la protection des données  
  L'utilisation des images de caméra comme moyen de preuve  
  Comment peut-on exercer son droit à l'oubli?  
  La saisie sur des comptes bancaires à l’étranger est facilitée  
  La réintégration des malades de longue durée : Réintégration dans l’entreprise  
  Crowdfunding - Update  
  La loi « Travail Faisable et Maniable »  
  Carnet de route concernant les fusions et acquisitions en Belgique (3° partie)  
  Carnet de route concernant les fusions et acquisitions en Belgique (4° partie) - Financement des acquisitions  
  Modifications de la loi sur les SIR approuvée par la Chambre