Document

Protection des données à caractère personnel - transfert vers un pays tiers

Veille professionnelle

Mis à jour le 02.11.2015

Saisie d’un renvoi préjudiciel par la High Court of Ireland (Irlande), la Cour de justice de l’Union européenne a, d’une part, interprété, le 6 octobre 2015, la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et, d’autre part, apprécié la validité de la décision 2000/520/CE de la Commission européenne (Schrems, aff. C-362/14)

Dans l’affaire au principal, un ressortissant autrichien, utilisateur de Facebook, a contesté, devant l’autorité irlandaise de protection des données, le fait que ses données soient transférées, par une filiale irlandaise de Facebook, vers des serveurs situés aux Etats-Unis. Sa plainte a été rejetée au motif que la Commission a, dans la décision précitée, estimé que les Etats-Unis assurent un niveau adéquat de protection aux données à caractère personnel. 

Saisie dans ce contexte, la juridiction de renvoi a interrogé la Cour sur le point de savoir si la directive, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, doit être interprétée en ce sens que l’existence d’une décision de la Commission, prise sur le fondement de cette directive, a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de ces données. 

S’agissant des pouvoirs des autorités de contrôle, la Cour observe qu’une décision de la Commission ne saurait ni annihiler, ni même réduire ces derniers. Elle considère que, même en présence d’une telle décision, ces autorités doivent pouvoir examiner, en toute indépendance, si le transfert de données vers un pays tiers respecte les exigences de la directive. 

La Cour estime qu’une demande remettant en cause le niveau de protection adéquat dans un pays tiers doit, malgré une décision contraire de la Commission, être comprise comme portant sur la compatibilité d’une telle décision avec la protection des droits fondamentaux de la personne garantie par la directive et la Charte. 

S’agissant, à cet égard, de la validité de la décision, elle estime que la notion de « niveau de protection adéquat » doit être comprise comme exigeant qu’un pays tiers assure effectivement un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti dans l’Union. 

En l’espèce, la Cour constate que la protection des données à caractère personnel est assurée, aux Etats Unis, par les principes de la « sphère de sécurité », auxquels les entreprises adhèrent, sans que les autorités publiques n’y soient soumises. 

Elle relève que ces principes peuvent être écartés dès qu’ils entrent en conflit avec des exigences liées à la sécurité nationale, à l’intérêt public ou à la législation américaine, ce qui constitue une ingérence dans les droits fondamentaux. Or, la décision de la Commission ne fait pas état de règles destinées à limiter cette ingérence. 

Par ailleurs, en ce qui concerne le niveau de protection américain des droits fondamentaux, la Cour constate qu’une règlementation n’est pas limitée au strict nécessaire, conformément au droit de l’Union, dès lors qu’elle autorise de manière généralisée la conservation de toutes les données transférées à partir de l’Union vers les Etats-Unis, sans aucune différenciation, limitation ou exception opérée en fonction de objectifs poursuivis et qu’elle ne prévoit aucun critère délimitant l’accès à ces données et leurs utilisation par les autorités publiques. 

En outre, une réglementation ne permettant pas aux personnes d’exercer des voies de droit pour avoir accès à leurs données, les rectifier ou les supprimer est contraire au principe de protection juridictionnelle effective. Partant, la Cour conclut à l’invalidité de la décision de la Commission.