22-09-2016 / IN Publications

Arrêt CJUE du 6 octobre 2015( n ° C 362-14)

Affaire : Maximilian SCHREMS c/ DATA PROTECTION COMMISSIONNER

I LES TEXTES CONCERNÉS

Il s’agit :

-de la Directive 95/46/CE.

-des articles 7, 8, 9 de la Charte des droits fondamentaux de l’Union européenne.

-de la loi n °78-17 du 6 janvier 1978 , dite loi « Informatique et Libertés »modifiée par la loi du 6 aout 2004 , qui pose un principe général d’interdiction de transmission vers un pays tiers à la Communauté européenne de données à caractère personnel si cet État tiers n’assure pas un « niveau de protection suffisant ». C’est un principe protecteur des personnes qui bénéficient de cette protection en France et dans ces pays tiers.

L’article 2 de cette loi définit « les données à caractère personnel » comme « …toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres …. »C’est donc une définition très large car de nombreux éléments sont susceptibles de servir à identifier une personne : adresse , coordonnées bancaires ,photos ,empreintes digitales …
Qu’est -ce que le niveau de « protection suffisant » ? Pour répondre à cette question et comprendre cette affaire, il faut préciser un certain nombre de points spécifiques concernant les règles applicables pour le transfert de données personnelles sur les États-Unis et la création de ce qui a été dénommé le « Safe Harbor »dit « Sphère de sécurité ».
Il s’agit d’une démarche volontaire d’entreprises établies aux États-Unis qui se sont, en quelque sorte , « auto -certifiées » en adhérant à une série de principes de protection de données à caractère personnel publiés par le ministère du Commerce des États-Unis.

Le 28 juillet 2010 la Commission européenne a adopté une décision d’adéquation de ce système : elle a décidé que constituait une protection adéquate et donc une « protection suffisante « au sens de la loi , le fait pour ces entreprises d’avoir adhéré au Safe Harbor.

En conséquence, si des transferts de données personnelles sont opérés auprès d’une société qui a adhéré au « Safe Harbor », il n’y a aucune formalité à respecter.
Or l’arrêt du 6 octobre 2015 a invalidé cette décision d’adéquation du 28juillet 2010.
II LES FAITS

Maximilian SCHREMS, étudiant autrichien, disposait d’un compte Facebook et avait donc transmis un certain nombre de données personnelles qui ont été transférées au siège de Facebook Ireland puis sur des serveurs situés aux États-Unis.
Or, en 2013, l’affaire d’Edward SNOWDEN a révélé l’intensité des programmes de surveillance de masse de la NSA (National Security Agency), sur les données transférées sur le territoire des États-Unis qui ne bénéficiaient, en réalité ,d’aucune protection réelle contre la surveillance étatique. Maximilian SCHREMS , estimant que ces révélations démontraient que les données personnelles des citoyens européens n’étaient, en fait ,pas protégées , a pris l’initiative de déposer le 25 juin 2013 une plainte entre les mains du Commissaire à la protection des données en Irlande, mais dans un premier temps il s’est heurté à un refus d’enquête. .
Il a alors saisi la Cour de justice irlandaise qui a posé deux questions préjudicielles à la Cour de justice européenne :

-Le Safe Harbor s’impose-t-il ou non aux autorités de contrôle indépendantes ?

-Est-il toujours valide après l’affaire Snowden ?

La Cour de justice suivant les conclusions extrêmement détaillées de monsieur l’avocat général Yves BOT a estimé que le fait qu’un pays tiers assure un niveau de protection adéquat « ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre […] examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat ».

Ainsi, la Cour a rappelé le principe que les autorités de contrôle nationales sont indépendantes et qu’en tant que telles ,elles doivent bénéficier de pouvoirs leur permettant d’examiner si le transfert des données vers un pays tiers respecte les exigences posées par la Directive 95/46/CE, et ce, même en présence d’une constatation effectuée par la Commission de l’adéquation de la protection accordée (paragraphes 53, 54 et 57 de la décision de la Cour).

La Cour de justice a donc élevé le niveau de protection des données à caractère personnel en posant le principe que le niveau de protection de celles-ci dans un pays tiers doit faire l’objet d’une évaluation régulière en fonction des évolutions juridiques et factuelles.

La Cour a souligné que :

« Les autorités américaines pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers les États-Unis et traiter celles-ci d’une manière incompatible, notamment avec les finalités de leur transfert et au-delà, de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. »

Ce faisant, la Cour estime donc que les États-Unis ne garantissent plus le niveau de protection adéquat aux données personnelles.

La Cour prend donc une décision d’une extrême importance puisqu’elle invalide un système mis en place depuis quinze ans.

III EN PRATIQUE

Première observation

D’abord, il faut relever que c’est une décision politique car c’est la deuxième fois en moins de deux ans que la Cour de justice européenne vient rappeler aux pouvoirs publics américains et aux entreprises numériques qu’il faut respecter le droit à la vie privée des citoyens de l’Union européenne :

En effet, pour mémoire :

-Par un premier arrêt date du 13 mai 2014 dans l’affaire « Google Spain SL , Google Inc / Agencia Espanola de Proteccion de Datos , Mario Costeja Gonzalez « » (C-131 /12) elle a posé le principe « du droit à l’oubli » des citoyens européens ,

-Par ce second arrêt du 6 octobre 2015 , elle pose le principe de leur droit à ce que le transfert de leurs données à caractère personnel soit effectué avec un niveau de « protection suffisant. »

L’administration américaine s’est dite « profondément déçue » par cette décision, ce qui est pour le moins paradoxal , alors qu’ elle revendique explicitement son droit à l’extraterritorialité juridique pour un certain nombre de litiges ( spécialement à l’égard des établissements bancaires français ) mais n’apprécie pas qu’on lui applique ce principe…

Il faut rappeler que le Parlement européen avait adopté le 12 mars 2014 une résolution demandant la suspension de Safe Harbor et que l’UE et les Etats Unis avaient alors entamé des négociations pour le réviser que ces derniers faisaient trainer en longueur.

La décision du 6 octobre 2015 est donc révélatrice de l’ indépendance de la CJUE et de son rôle majeur et positif dans la construction du droit européen .

Deuxième observation

En pratique, il n’est désormais plus possible de réaliser un transfert de données personnelles en se fondant sur le Safe Harbor qui a été abrogé.

Que faut-il en conséquence mettre en place pour opérer un transfert de données personnelles ?

-Il faut tout d’abord établir un état des lieux de tous les flux transfrontaliers effectués à destination des États-Unis,
-Puis une liste des prestataires / et autres sociétés concernés par ces transferts qui avaient adhéré au Safe Harbor,
-Envoyer un courrier officiel à ces sociétés pour leur annoncer la volonté de la société française d’encadrer ces transferts, – Ensuite ,il faut procéder à la signature de clauses contractuelles types approuvées par la Commission européenne qui sont définies entre les deux entreprises,
-Mettre en place des BCR (Binding Corporate Rules) : dans ces BCR, dites « Règles Internes d’Entreprise » , il y a lieu de préciser la détermination de la finalité du traitement des données personnelles ,de sa justesse au regard de la finalité poursuivie ,de la mise en place de traitements légitimes et explicites ,outre de la formation des collaborateurs,
-Procéder aux déclarations CNIL correspondantes , – Enfin, dans certains cas, il suffit d’obtenir le consentement express de la personne concernée, au transfert de ses données personnelles en application des dispositions de l’article 69 de la loi Informatique et Libertés.

Les sanctions encourues en cas de non-respect des règles en matière de transfert des données à caractère personnel sont importantes : 300 000 € d’amende et cinq ans d’emprisonnement (articles 226-16, 226-16A et 226-22-1 du Code pénal ) outre des sanctions prévues par la CNIL (avertissements et sanctions pécuniaires )

Il convient de noter que des conseils et des modèles de clauses contractuelles ainsi que de BCR se trouvent en ligne sur le site de la CNIL (www.cnil.fr/vos-obligations/transfert-de-donnees-hors-UE.) qui sont très utiles et à adapter par les avocats aux activités spécifiques de leurs clients concernés par la question du transfert des données personnelles qu’il doivent alerter sur le sujet .

Cet arrêt du 6 octobre 2015 est donc lourd de conséquences et donne lieu à de grandes difficultés spécialement pour les PME françaises qui ne sont pas pourvues de services juridiques spécifiques et qui sont amenées dans des situations diverses, à transférer des données à caractère personnel de leurs clients, de leurs prestataires et également de leurs salariés expatriés .

Il appartient donc aux avocats de celles-ci de les informer et de les aider à se mettre rapidement en conformité .

Troisième observation

Il avait a été annoncé dans la presse qu’une solution devrait être trouvée avant le 31 janvier 2016 pour mettre en place un nouveau « Safe Harbor » étant précisé que , Madame Isabelle FALQUE-PIERROTIN, Présidente de la CNIL en France a indiqué que « tout ceci sera discuté à la plénière du G29 mardi 2 février ».(Le Monde du 2 février )

Selon les informations publiées un nouveau régime juridique sera mis en place dans le cadre « d’un bouclier de confidentialité « (EU-US privacy shield) dont le cadre exact devra être mis en forme au cours des trois prochains mois et qui prévoira trois étapes de recours possibles :
– en cas d’échec du recours direct auprès de l’entreprise ,les autorités nationales – la CNIL en France et la commission américaine du Commerce seront consultées en même temps
-en cas d’échec, il sera possible de recourir à « un ombudsman », (médiateur) qui sera désigné au sein du département d’Etat pour superviser les plaintes des citoyens européens .

-en outre la direction du renseignement américain prendrait l’engagement de ne pas adopter de pratiques discriminantes entre citoyens américains et européens
– une revue du texte en 2017 devra être mise en place .pour vérifier ses conditions de fonctionnement et corriger ses éventuels défauts
Les commentateurs soulignent d’ores et déjà qu’il « reste à savoir si cette mouture résistera à un nouvel examen de la Cour de justice européenne »(Le monde du 4 février) tandis que Maximilian SCHREMS dit « attendre de voir le texte définitif , mais entrevoit déjà une nouvelle bataille en justice » (Les Echos du 3 février )

Tous les géants du net et plus de quatre mille entreprises européennes sont concernés par ce nouveau régime juridique .

Quatrième observation

Cette invalidation du Safe Harbor intervient dans une période particulièrement sensible à raison de la multiplication des attentats et du nécessaire renforcement des contrôles sur deux dossiers européens « brûlants » :
-Celui de « l’Umbrella Agreement » (dit « Accord parapluie ») qui traite de la question du transfert et du traitement des données à caractère personnel en matière de police et justice pénale ,
-Celui du nouveau Règlement européen sur la protection des données personnelles ayant pour objet d’adapter les règles en vigueur aux nouvelles réalités du numérique.

Affaire à suivre …

Catherine BOINEAU

Avocat à la cour KUCKENBURG BURETH BOINEAU et Associés Membre de la Section internationale de l’ACE c.boineau@avokab.com