Invalidité de la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées

Invalidité de la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées

Publié le : 08/10/2015 08 octobre oct. 10 2015

Dans un arrêt du 6 octobre 2015, la CJUE déclare invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées.La directive sur le traitement des données à caractère personnel dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Toujours selon la directive, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. Enfin, la directive prévoit que chaque État membre désigne une ou plusieurs autorités publiques chargées de surveiller l’application, sur son territoire, des dispositions nationales adoptées sur le fondement de la directive (« autorités nationales de contrôle »).

M. Maximillian Schrems, un citoyen autrichien, utilise Facebook depuis 2008. Comme pour les autres abonnés résidant dans l’Union, les données fournies par M. Schrems à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où elles font l’objet d’un traitement.

M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États-Unis, le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays.

L’autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 2000, la Commission a considéré que, dans le cadre du régime dit de la « sphère de sécurité », les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées.

Saisie de l’affaire, la High Court of Ireland (Haute Cour de justice irlandaise) souhaite savoir si cette décision de la Commission a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.

Dans son arrêt du 6 octobre 2015, dans l'affaire C-362/14, Maximillian Schrems / Data Protection Commissioner, la Cour estime que l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la Charte des droits fondamentaux de l’Union européenne et de la directive. La Cour souligne à cet égard le droit à la protection des données à caractère personnel garanti par la Charte ainsi que la mission dont sont investies les autorités nationales de contrôle en vertu de cette même Charte.

La Cour considère tout d’abord qu’aucune disposition de la directive n’empêche les autorités nationales de contrôler les transferts de données personnelles vers des pays tiers ayant fait l’objet d’une décision de la Commission. Ainsi, même en présence d’une décision de la Commission, les autorités nationales de contrôle, saisies d’une demande, doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive.
Néanmoins, la Cour rappelle qu’elle est seule compétente pour constater l’invalidité d’un acte de l’Union, tel qu’une décision de la Commission. Par conséquent, lorsqu’une autorité nationale ou bien la personne ayant saisi l’autorité nationale estime qu’une décision de la Commission est invalide, cette autorité ou cette personne doit pouvoir saisir les juridictions nationales pour que, dans le cas où elles douteraient elles aussi de la validité de la décision de la Commission, elles puissent renvoyer l’affaire devant la Cour de justice. C’est donc en dernier lieu à la Cour que revient la tâche de décider si une décision de la Commission est valide ou non.

La Cour vérifie alors la validité de la décision de la Commission du 26 juillet 2000.

S’agissant du niveau de protection substantiellement équivalent avec les libertés et droits fondamentaux garanti au sein de l’Union, la Cour constate que, en droit de l’Union, une réglementation n’est pas limitée au strict nécessaire, dès lors qu’elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes dont les données sont transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif poursuivi et sans que des critères objectifs ne soient prévus en vue de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure. La Cour ajoute qu’une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée.

De même, la Cour relève qu’une règlementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l’existence d’un État de droit.

Enfin, la Cour constate que la décision de la Commission du 26 juillet 2000 prive les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. La Cour considère que la Commission n’avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle.

La Cour déclare ainsi la décision de la Commission du 26 juillet 2000 invalide. Cet arrêt a pour conséquence que l’autorité irlandaise de contrôle est tenue d’examiner la plainte de M. Schrems avec toute la diligence requise et qu’il lui appartient, au terme de son enquête, de décider s’il convient, en vertu de la directive, de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles.


Source:Communiqué de presse de la CJUE dans l'affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.



Virginie MEREGHETTI-FILLIEUX



Cet article n'engage que son auteur.

Crédit photo : © Andrzej Puchta - Fotolia.com

Historique

<< < 1 2 3 > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK