Par un arrêt du 6 octobre 2015 (CJUE, 6 octobre 2015, aff. C-362/14), la CJUE a invalidé la décision par laquelle la Commission européenne avait constaté que les Etats-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées (safe harbor). Cet arrêt est majeur pour la protection des données. Le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant (ou « adéquat ») des données personnelles. La Commission européenne peut constater qu’un Etat n’appartenant pas à l’Union assure un tel niveau de protection. C’est ce qu’elle a fait, pour les Etats-Unis, à propos de la « sphère de sécurité » (« safe harbor ») par une décision du 26 juillet 2000. Saisie dans le cadre d’une question préjudicielle, la Cour de Justice de l’Union européenne (CJUE) a jugé que, pour se prononcer sur le niveau de protection assuré par la « sphère de sécurité », la Commission européenne ne pouvait se limiter à la seule analyse de ce régime, mais devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ». Sur le fond, la CJUE a relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. Constatant que la Commission n’a pas recherché si les Etats-Unis « assurent » effectivement une protection adéquate, la Cour prononce ainsi l’invalidation de la décision d’adéquation. En termes de procédure, Elle a également jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection, les autorités nationales de protection des données (telles que la CNIL) doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive. Elle en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision de la Commission européenne invalidée ne pouvait priver les autorités de contrôle d’une telle possibilité.
http://actualitesdudroit.lamy.fr/Accueil/Articles/tabid/88/articleType/ArticleView/articleId/126993/Default.aspx
ARRÊT DE LA COUR 6 octobre 2015
CONCLUSIONS AVOCAT GÉNÉRAL Affaire C‑362:14 Schrems contre Data Protection Commissioner