La Cour de justice de l’Union européenne (CJUE) a suivi à la lettre les recommandations de son avocat général dans l’affaire Schrems, et décidé d’invalider le régime du Safe Harbor qui permettait aux entreprises américaines d’importer aux USA des données personnelles de citoyens européens.

Mise à jour : la décision complète est désormais disponible.

Sans surprise étant donnée sa jurisprudence très volontariste dans la protection des données personnelles des Européens, la Cour de justice de l’Union européenne (CJUE) a jugé mardi que le régime du Safe Harbor accordé entreprises américaines n’était plus valide en raison des révélations d’Edward Snowden sur le programme PRISM, par lequel la NSA accèderait aux données stockées aux USA.

En dépit des dénégations des Etats-Unis, la Cour a ainsi suivi les recommandations de l’avocat général Yves Bot, et décidé d’annuler la décision de la Commission européenne qui permettait depuis 2000 l’exportation de données personnelles vers les Etats-Unis, en présumant que celles-ci bénéficiaient d’une « protection adéquate » dès lors que des engagements standards étaient respectés.

La Cour estime que les autorités nationales comme la CNIL ont bien la possibilité d’être en désaccord avec les décisions de la Commission européenne qui présument qu’un Etat accorde un niveau satisfaisant de protection aux données personnelles des Européens qui y sont importées, mais que seule la CJUE a juridiquement compétence pour invalider les Safe Harbor tel que celui accordé aux Etats-Unis. Les autorités de protection des données (APD) doivent donc nécessairement saisir la justice pour obtenir une question préjudicielle telle que celle jugée en l’espèce, dans une affaire qui opposait l’activiste autrichien Maximilian Schrems à l’APD irlandaise, qui avait autorisé l’exportation de données de Facebook.

Des ingérences dans les droits fondamentaux

Schrems estimait que les révélations d’Edward Snowden avaient changé la donne, ce que la CJUE a confirmé. « Les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences« , constate ainsi la Cour dans son communiqué de presse, alors que la publication de l’arrêt est attendue dans la journée. « Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences ».

Par ailleurs, « une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé« .

Outre les possibilités d’accès aux données personnelles que s’octroient les Etats-Unis de façon disproportionnée, la CJUE constate également qu’aucune règle procédurale n’existe outre-Atlantique pour permettre aux Européens lésés de faire valoir leurs droits, ce qui n’est pas conforme aux droits fondamentaux d’accès à la justice.

Malgré l’invalidation du Safe Harbor, Facebook pourra toujours continuer à exporter des données, puisque l’autorité irlandaise devra simplement tenir compte de cette faculté juridique qui a disparu, et examiner le cadre général de protection de données apporté par Facebook au regard de l’ensemble des autres circonstances. Comme nous l’avions expliqué, d’autres régimes juridiques peuvent s’appliquer, ce qui devrait en pratique limiter l’impact de la décision pour les grandes entreprises. Les formalités seront toutefois dorénavant beaucoup plus lourdes, ce qui aura un effet préjudiciable pour les entreprises de plus petites tailles. Environ 4000 entreprises bénéficiaient du régie du Safe Harbor accordé aux Etats-Unis.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !