01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Invalidation du Safe Harbor par la CJUE : quelles sont les conséquences juridiques et opérationnelles pour les entreprises européennes transférant leurs données en vertu de ce dispositif ?

Logo HAAS 2022

A propos de CJUE, 6 octobre 2015, Affaire C-362/14

Par Gérard HAAS et Laurent GOUTORBE, Avocats

Par son arrêt du 6 octobre 2015, la Grande Chambre de la Cour de Justice de l’Union Européenne a créé un séisme dans le monde du traitement des données à caractère personnel en invalidant la Décision 2000/520 adoptée par la Commission européenne sur le fondement de l’article 25 de la Directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

L’autre enseignement de cet arrêt tient au rappel que la CNIL (tout comme ses homologues européennes) doit, tout en assurant un équilibre entre le respect du droit fondamental à la vie des personnes et les intérêts qui commandent la libre circulation des données à caractère personnel, pouvoir vérifier si un transfert de données à caractère personnel depuis la France vers un pays tiers respecte les exigences posées par la Directive 95/46 précitée et par la loi Informatique et Libertés.

Néanmoins, seule la CJUE a la compétence de se prononcer sur la validité d’une décision de la commission qui serait contestée comme dans le cas d’espèce.

 

1/ Origine de l’arrêt

Le litige ayant donné lieu à l’arrêt de la CJUE concernait un ressortissant autrichien qui avait saisi l’équivalent de la CNIL en Irlande d’une plainte pour lui demander d’user de ses pouvoirs statutaires pour interdire à Facebook de transférer ses données à caractère personnel vers les Etats-Unis. Suite au refus de cette dernière de faire droit à sa demande, il a saisi la High Court irlandaise en fondant notamment ses demandes sur les révélations de M. Edgard Swoden concernant les excès des programmes de surveillance des Etats-Unis, notamment de la NSA.

La High Court, après avoir constaté que « le droit au respect de la vie privée des Etats membres serait privé de toute portée si les pouvoirs publics étaient autorisés à accéder aux communications électroniques de manière aléatoire et généralisée sans aucune justification objective fondée sur des raisons de sécurité nationale ou de prévention de la criminalité, liées spécifiquement aux individus concernés, et sans que ces pratiques soient entourées de garanties suffisantes », a ainsi saisi la CJUE de questions préjudicielles portant d’une part sur le pouvoir de contrôle des CNIL européennes et d’autre part, sur la légalité du régime des « Safe Harbor » mis en place par la Décision 200/520 qui est dénoncée.

En substance, la Décision 200/520 de la Commission européenne du 26 juillet 2000 considérait que les « Safe Harbor » (principes de la « sphère de sécurité ») négociés par la Commission européenne et établis par le Ministère du Commerce des Etats-Unis d’Amérique offraient un niveau de protection adéquat des données.

En d’autres termes, alors que les Etats-Unis d’Amérique ne font pas partie des pays tiers offrant un niveau de protection adéquat aux données à caractère personnel, la Commission européenne et les « CNIL » européennes considéraient que le transfert de données à caractère personnel vers les Etats-Unis était autorisé dès lors que la personne traitant les données ou destinataire de ces dernières souscrivait à ces fameux « Safe Harbor ».

Aujourd’hui, la majeure partie des transferts de données à destination des Etats-Unis d’Amérique s’effectue sous couvert de ces « Safe Harbor » et grand nombre de sociétés font appel à des prestataires américains ayant volontairement adhéré aux Safe Harbor, notamment pour le stockage de leurs données et des solutions marketing de traitement des données de leurs clients et prospects.

 

2/ Une situation connue de longue date

Depuis 2013 et différents rapports de la Commission européenne et du G29, le niveau de protection effective des données à caractère personnel des citoyens de l’Union Européenne qui sont transférées vers les Etats-Unis dans le cadre des Safe Harbor soulevait déjà des inquiétudes fortes de différents ordres :

  • la croissance exponentielle de la quantité et de la qualité des données transférées aux Etats-Unis d’Amérique par ce biais,
  • les lacunes dans le respect des « Safe Harbor » par les entreprises y adhérant et l’absence de réel contrôle de ce respect par les autorités américaines,
  • le fait que les autorités américaines peuvent consulter et traiter ces données « d’une manière incompatible avec les motifs pour lesquels elles avaient été initialement collectées dans l’Union Européenne et les finalités de leur transfert vers les Etats-Unis d’Amérique » ; les « Safe Harbor » servant « d’interface pour le transfert de données à caractère personnel de citoyens européens, de l’Union européenne vers les Etats-Unis, par les entreprises qui sont tenues de remettre des données aux agences américaines de renseignement dans le cadre de programmes américains de collecte de renseignements » (PRISM)  (Communication COM (2013) 846 du 27 novembre 2013)
  • l’absence de toute possibilité de faire valoir ses droits d’accès, de rectification ou de suppression des données aux personnes dont les données sont collectées par les autorités américaines dans le cadre de ses programmes de surveillance (notamment PRISM)

 

3/ Les raisons de l’invalidation du Safe Harbor

La CJUE, dans son arrêt, rappelle que le niveau de protection adéquat reconnu à un pays tiers exige que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union Européenne en vertu de la Directive 95/46 précitée et de la Charte des droits fondamentaux de l’Union Européenne.

A l’examen de la Décision 200/520 approuvant les principes de Safe Harbor comme assurant un niveau de protection adéquat de protection des données à caractère personnel transférées depuis l’Union Européenne vers des organisations établies aux Etats-Unis, la CJUE pointe plusieurs limites remettant en cause cette décision :

  • le système des Safe Harbor repose sur un système d’auto certification qui nécessite la mise en œuvre de contrôles et de sanctions des violations aux principes de Safe Harbor auxquels les Organisations américaines adhérent volontairement.
  • Ce système n’impose nullement aux Autorités américaines de respecter les principes de « Safe Harbor ».
  • La Décision 200/520 consacre la primauté des « exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des Etats-Unis sur les principes du Safe Harbor», puisqu’il est expressément prévu que lorsque la législation américaine impose une obligation conflictuelle, les organisations américaines faisant ou non partie du Safe Harbor doivent se plier à cette législation.

Cela rend ainsi possible des ingérences généralisées des autorités américaines dans les droits fondamentaux des personnes dont les données à caractère personnel sont transférées depuis l’Union Européenne vers les Etats-Unis, sans que la loi américaine ne prévoie de limites et de garanties, de protection juridique à cet égard, ni de voie de recours judiciaire ou administratif permettant aux personnes concernées d’accéder aux données les concernant et le cas échéant d’exercer leurs droits de rectification et de suppression.

C’est là le point essentiel de l’invalidation des « Safe Harbor » : la remise en cause de la possibilité pour les autorités américaines de pouvoir accéder de manière généralisée au contenu de toutes les communications électroniques et notamment de toutes les données à caractère personnel transférées depuis l’Union Européenne vers les Etats-Unis ; et ce, sans limitation et sans aucune voie de recours ni aucun contrôle juridictionnel.

La CJUE invalide donc la Décision 200/520 en ce qu’elle n’a pas fait état de ce que les Etats-Unis « assurent » effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux.

 

4/ La portée et les effets de l’arrêt restent incertains et créent une insécurité juridique

Les conséquences de cet arrêt restent encore incertaines puisque la CJUE n’apporte aucune précision quant aux effets de son arrêt.

Toutefois, il semble au vu de la jurisprudence de la CJUE qu’un arrêt préjudiciel constatant l’invalidité d’un acte a un effet rétroactif. Or, si la CJUE dispose du droit de limiter les effets dans le temps d’une déclaration d’invalidité lorsque des considérations impérieuses de sécurité juridique s’opposent à ce que des situations juridiques qui ont épuisé leurs effets dans le passé soient remises en cause, il semble que cette dernière n’ait pas expressément fait jouer ce droit, ce qui reviendrait à dire que les transferts réalisés vers les Etats-Unis deviendraient en théorie illicites rétroactivement.

En tout état de cause, les transferts qui s’opèrent sur cette base juridique depuis le 6 octobre 2015 sont illégaux.

En outre, au regard des critiques formulées par la CJUE, on peut s’interroger sur la valeur des transferts de données à caractère personnel qui seraient autorisés du fait de la seule signature de clauses contractuelles-types pour le transfert de données à caractère personnel vers des entités établies dans des pays tiers en vertu de la directive 95/46/CE et reconnue par la Commission européenne comme offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants comme l’exige l’article 26, paragraphe 2, de la directive 95/46/CE.

En particulier, la décision de la Commission Européenne C(2010)593 du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE prévoit dans son article 4 que :

« les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent pour interdire ou suspendre les flux de données vers des pays tiers afin de protéger les individus à l’égard du traitement de leurs données à caractère personnel, et ce dans les cas où:

a) il est établi que le droit auquel l’importateur de données ou un sous-traitant ultérieur est soumis oblige ce dernier à déroger au droit applicable à la protection des données au-delà des limitations nécessaires dans une société démocratique pour l’une des raisons énoncées à l’article 13 de la directive 95/46/CE lorsque cette obligation risque d’avoir des conséquences négatives importantes pour les garanties offertes par le droit applicable à la protection des données et les clauses contractuelles types.

b) une autorité compétente a établi que l’importateur de données ou un sous-traitant ultérieur n’a pas respecté les clauses contractuelles types figurant en annexe, ou

c) il est fort probable que les clauses contractuelles types figurant en annexe ne sont pas ou ne seront pas respectées et que la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves.

L’interdiction ou la suspension visée au paragraphe 1 est levée dès que les raisons qui la motivaient disparaissent.

Lorsque les États membres adoptent des mesures conformément aux paragraphes 1 et 2, ils en informent sans délai la Commission, qui transmet l’information aux autres États membres ».

La CNIL peut donc tout à fait, en vertu de cet article, refuser d’autoriser des traitements de données à caractère personnel à destination de sous-traitants établis aux Etats-Unis d’Amérique, et ce, malgré la signature des clauses contractuelles types, dès lors qu’elle considérerait, comme l’a fait la CJUE, que le fait que les autorités américaines puissent accéder de manière généralisée au contenu de toutes les communications électroniques transférées depuis l’Union Européenne vers les Etats-Unis, et ce sans limitation et sans aucune voie de recours ni aucun contrôle juridictionnel, risque d’avoir des conséquences négatives importantes pour les garanties offertes aux personnes concernées.

En effet, que ce soit par ce mécanisme ou celui du Safe Harbor, les entreprises américaines ne peuvent pas refuser de donner accès aux autorités américaines aux données qui leur sont transférées depuis l’Union  Européenne puisqu’il s’agit alors pour elles d’une obligation légale.

 *******

La Commission européenne, le G29 et les CNIL européennes travaillent actuellement pour donner leur position et la ligne de conduite qu’il convient de suivre.

Dans un premier communiqué daté du 16 octobre 2015, le G29 a demandé aux institutions européennes et gouvernements concernés de négocier avec les autorités américaines afin de trouver des solutions juridiques, politiques et techniques permettant de transférer des données à caractère personnel vers les Etats-Unis dans le respect des droits fondamentaux des personnes, et ce, avant le 31 janvier 2016.

Cela passe nécessairement par la mise en place de mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes.

En outre, dans ce communiqué, le G29 annonce que jusqu’au 31 janvier 2016, il considère que les autres outils de transfert (BCR, clauses contractuelles types) peuvent encore être utilisés par les entreprises, les CNIL se réservant la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir.

Passé le 31 janvier 2016, si aucune solution ne devait être trouvée avec les autorités américaines et en fonction de l’évaluation en cours des outils de transferts par le G29, les CNIL européennes annoncent également qu’elles mettront alors en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées.

Afin d’informer l’ensemble des parties prenantes, les autorités de protection des données européennes vont lancer des campagnes d’information au niveau national, comprenant une information ciblée auprès des entreprises ayant déjà réalisé des transferts sur la base du safe harbor et une information générale sur les sites des autorités.

Enfin, le G29 tient à insister sur les responsabilités partagées des autorités de protection, des institutions européennes, des Etats membres et des entreprises pour élaborer des solutions robustes. Dans ce contexte, les entreprises doivent en particulier mettre en œuvre des solutions juridiques et techniques pour limiter les risques éventuels qu’elles prennent en transférant des données à l’étranger, quant au respect des droits fondamentaux des personnes.

Les entreprises françaises qui opèrent actuellement des transferts de données vers les Etats-Unis à destination de prestataires ayant adhéré au Safe Harbor doivent donc revoir leur stratégie et effectuer de nouvelles démarches afin que ces transferts désormais illégaux soient autorisés par la CNIL.

Pour en savoir plus, contactez le Cabinet HAAS Avocats.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com