Les autorités nationales peuvent-elles suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis ? La CJUE se prononcera le 6 octobre. Ainsi qu’il est rappelé la directive sur le traitement des données à caractère personnel dispose que le transfert de telles données vers un pays tiers peut uniquement avoir lieu si le pays tiers en question assure un niveau de protection adéquat à ces données. Toujours selon la directive, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. Dès lors que la Commission adopte une décision en ce sens, le transfert de données à caractère personnel vers le pays tiers concerné peut avoir lieu. Enfin, la directive prévoit que chaque État membre désigne une ou plusieurs autorités publiques chargées de surveiller l’application, sur son territoire, des dispositions nationales adoptées sur le fondement de la directive (« autorités nationales de contrôle »). Dans la présente espèce, M. Maximillian Schrems, un citoyen autrichien, utilise Facebook depuis 2008. Comme pour les autres abonnés résidant dans l’Union, les données fournies par M. Schrems à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. Il a déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États-Unis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays. L’autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 2000, la Commission a considéré que, dans le cadre du régime dit de la « sphère de sécurité », les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées. Dans ses conclusions du 23 septembre 2015, l’avocat général Yves Bot estime que l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la directive. S’il admet que les autorités nationales de contrôle sont juridiquement liées par la décision de la Commission, il considère cependant qu’un tel effet contraignant n’est pas de nature à imposer que les plaintes soient rejetées sommairement, c’est-à-dire immédiatement et sans aucun examen de leur bien-fondé. Une décision de la Commission joue, certes, un rôle important pour l’uniformisation des conditions de transfert au sein des États membres, mais cette uniformisation ne peut perdurer qu’aussi longtemps que ce constat n’est pas remis en cause, notamment dans le cadre d’une plainte que les autorités nationales de contrôle doivent traiter en vertu des pouvoirs d’investigation et d’interdiction qui leur sont reconnus par la directive. En d’autre termes, la Commission ne dispose pas de la compétence de restreindre les pouvoirs des autorités nationales de contrôle. Par ailleurs, M. Bot estime que la décision de la décision en cause en l’espèce est invalide. En effet, le droit et la pratique des États-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées, sans que ces derniers bénéficient d’une protection juridictionnelle effective. En outre, l’accès dont disposent les services de renseignement américains aux données transférées est constitutif d’une ingérence dans le droit au respect de la vie privée et dans le droit à la protection des données à caractère personnel. De même, l’impossibilité pour les citoyens de l’Union d’être entendus sur la question de l’interception et de la surveillance de leurs données aux États-Unis constitue, selon l’avocat général, une ingérence dans le droit des citoyens de l’Union à un recours effectif. Selon M. Bot, cette ingérence dans les droits fondamentaux est contraire au principe de proportionnalité, notamment parce que la surveillance exercée par les services de renseignement américains est massive et non ciblée. En effet, l’accès aux données à caractère personnel dont disposent les services de renseignement américains couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données transférées (y compris le contenu des communications), sans qu’aucune différenciation, limitation ni exception soit opérée en fonction de l’objectif d’intérêt général poursuivi. Dans ces conditions, l’avocat général estime qu’un pays tiers ne saurait en aucun cas être réputé assurer un niveau de protection adéquat, et ce d’autant moins que le régime de la sphère de sécurité tel qu’il est défini dans la décision de la Commission ne contient pas de garanties propres à éviter un accès massif et généralisé aux données transférées. Aucune autorité indépendante n’est en effet en mesure de contrôler, aux États-Unis, la violation des principes de protection des données à caractère personnel commise par des acteurs publics, tels que les agences de sécurité américaines, à l’égard des citoyens de l’Union.
http://actualitesdudroit.lamy.fr/Accueil/Articles/tabid/88/articleType/ArticleView/articleId/126931/Default.aspx
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-09/cp150106fr.pdf
Conclusions avocat général affaire C-362:14 Maximillian Schrems:Data Protection Commissioner
CONCLUSIONS DE L’AVOCAT GÉNÉRAL M. YVES Bot du 23 septembre 2015