CJUE, 6 oct.2015, le « Safe Harbor » pas si safe que ça

Après s’être prononcée dans une affaire concernant les libertés numériques (voir source), la décision rendue par la Cour de l’Union le 6 octobre 2015 nous montre que le contentieux de cette matière n’en n’est probablement qu’à ses débuts.

Pour rappel des faits M. Schrems, un citoyen autrichien, utilisateur de Facebook depuis 2008 voit, comme pour les autres abonnés résidant dans l’Union, ses données fournies à Facebook et transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où ces dernières font l’objet d’un traitement. M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des ÉtatsUnis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des ÉtatsUnis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays.

L’autorité irlandaise confrontée à cette plainte a néanmoins rejeté cette demande, au motif notamment que, dans sa décision du 26 juillet 20002 , la Commission a considéré que, dans le cadre du régime dit de la « sphère de sécurité » 3 , les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées.

La Cour développe donc un raisonnement dont le point central est le suivant, elle déclare :  » Or, sans qu’il y ait besoin, pour la Cour, de vérifier si ce régime assure un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union, la Cour relève que celui-ci est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises. En outre, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences. Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences. »

Au final,  la Cour déclare la décision de la Commission du 26 juillet 2000 invalide. Ainsi, l’autorité irlandaise de contrôle est tenue d’examiner la plainte de M. Schrems avec diligence requise et il lui appartient, au terme de son enquête, de décider s’il convient, de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles.

FJ.

Source :

CJUE, Digital Rights Ireland et Seitlinger 8 avril 2014 http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054fr.pdf

http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Menu