Invalidation du « safe harbor » par la Cour de Justice de l’Union européenne : une décision clé pour la protection des données

Le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant (ou « adéquat ») des données personnelles. La Commission européenne peut constater qu’un Etat n’appartenant pas à l’Union assure un tel niveau de protection. C’est ce qu’elle a fait, pour les Etats-Unis, à propos de la « sphère de sécurité » (« safe harbor ») par une décision du 26 juillet 2000. Saisie dans le cadre d’une question préjudicielle, la Cour de Justice de l’Union européenne (CJUE) a jugé que, pour se prononcer sur le niveau de protection assuré par la « sphère de sécurité », la Commission européenne ne pouvait se limiter à la seule analyse de ce régime, mais devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ».  Sur le fond, la CJUE a relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux législations américaines d’ordre public et doivent, par suite, écarter « sans limitation » l’application des clauses du « safe harbor » qui leur seraient contraires. La CNIL avait déjà, y compris avec ses homologues du G29, attiré l’attention depuis plusieurs années sur la situation créée par la législation américaine et sur le caractère disproportionné d’une collecte massive et indifférenciée de données. Elle avait également attiré l’attention, dans ce contexte, sur les insuffisances du « safe harbor ».  Constatant que la Commission n’a pas recherché si les Etats-Unis « assurent » effectivement une protection adéquate, la Cour prononce ainsi l’invalidation de la décision d’adéquation. En termes de procédure, la Cour a également jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection, les autorités nationales de protection des données (telles que la CNIL) doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive. Elle en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision de la Commission européenne invalidée ne pouvait priver les autorités de contrôle d’une telle possibilité. Concrètement, l’invalidation de la décision de la Commission européenne qui reconnaissait l’adéquation du « safe harbor » pose donc la question du niveau de protection des données personnelles transférées aux Etats-Unis. Les autorités de protection des données devront examiner la validité des transferts qui leur sont soumis, en tenant compte du fait que la situation américaine n’est pas « adéquate ». La CNIL va prochainement rencontrer ses homologues au sein du G29 afin de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ».