les données personnelles à l'heure des collectes massives et de leur surveillance

Le contrôle de chaque citoyen européen sur les données personnelles qui le concernent, à l’heure des réseaux sociaux et des systèmes de surveillance de masse.Le droit à la protection des données personnelles constitue un droit fondamental de l’Union et l’exercice de ce droit nécessite un accès effectif à l’autorité nationale de contrôle pour assurer le respect des règles européennes.

L’événement juridique le plus médiatisé de ses dernières années et dont les conséquences l’ont été également, – de nouvelles règles à mettre en place et à respecter pour le transfert des données des citoyens européens notamment aux Etats-Unis d’Amérique du Nord par les opérateurs économiques – est, sans aucun doute, l’arrêt du 6 octobre 2015 de la Cour de Justice désigné sous le nom de Safe Harbour – appelé « sphère de sécurité » dans la version francophone de la décision de la Commission -, bien qu’il devrait être nommé par le nom du requérant initial Maximilien Schrems. L’arrêt est là.

Cet arrêt de la Cour de justice du 6 octobre 2015, C‑362/14, est intervenu sur une question préjudicielle de la juridiction irlandaise dans une procédure opposant Maximillian Schrems contre Data Protection Commissioner en présence de Digital Rights Ireland Ltd.

Quelques explications sur le litige tel que rapporté à l’arrêt

Un utilisateur de Facebook demande à l’autorité irlandaise de protection des données personnelles que ses données personnelles ne soient pas transférées aux Etats-Unis pour y être traitées.

26 M. Schrems, un ressortissant autrichien résidant en Autriche, est un utilisateur du réseau social Facebook (ci-après «Facebook») depuis l’année 2008.

27 Toute personne résidant sur le territoire de l’Union et désirant utiliser Facebook est tenue de conclure, lors de son inscription, un contrat avec Facebook Ireland, filiale de Facebook Inc., elle-même établie aux États-Unis. Les données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union sont, en tout ou en partie, transférées vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement.

28 Le 25 juin 2013, M. Schrems a saisi le commissaire d’une plainte par laquelle il demandait en substance à celui-ci d’exercer ses compétences statutaires en interdisant à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (ci-après la «NSA»).

L’autorité irlandaise de contrôle sur le respect des dispositions relatives aux données personnelles s’en rapporte à la décision de la Commission du 26 juillet 2000

29 Considérant qu’il n’était pas tenu de procéder à une enquête sur les faits dénoncés par M. Schrems dans sa plainte, le commissaire a rejeté celle‑ci comme étant dépourvue de fondement. Ce dernier a, en effet, estimé qu’il n’existait pas de preuves que la NSA ait accédé aux données à caractère personnel de l’intéressé. Le commissaire a ajouté que les griefs soulevés par M. Schrems dans sa plainte ne pouvaient être utilement avancés, puisque toute question relative au caractère adéquat de la protection des données à caractère personnel aux États-Unis devait être tranchée en conformité avec la décision 2000/520 et que, dans cette décision, la Commission avait constaté que les États-Unis d’Amérique assuraient un niveau adéquat de protection.

Que dit cette décision 2000/520 de la Commission ?

La décision du 26 juillet 2000 de la Commission a été prise au regard de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

L’extrait ci-après de l’article 1er en indique l’essentiel :

1. Aux fins de l’article 25 de la directive 95 /46/CE, pour toutes les activités rentrant dans le domaine d’application de ladite directive, il est considéré que les «principes de la « sphère de sécurité » relatifs à la protection de la vie privée» (ci-après dénommés «les principes visés à l’annexe I de la présente décision »), appliqués conformément aux orientations fournies par les «questions souvent posées» [«frequently asked questions» (FAQ)] publiées le 21 juillet 2000 par le ministère du commerce des États-Unis d’Amérique, visées à l’annexe II de la présente décision, assurent un niveau adéquat de protection des données à caractère personnel tansférées depuis la Communauté vers des organisations établies aux États-Unis compte tenu des documents suivants émis par le ministère du commerce des États-Unis: …..

L’affaire vient devant la juridiction irlandaise qui s’intéresse au caractère contraignant ou non de cette décision à l’encontre de son contrôleur de la protection des données personnelles

35 La High Court (Haute Cour de justice) observe, en outre, que M. Schrems, à l’occasion de son recours, dénonce en réalité la légalité du régime de la «sphère de sécurité» mis en place par la décision 2000/520 et dont procède la décision en cause au principal. Ainsi, même si M. Schrems n’a formellement contesté la validité ni de la directive 95/46 ni de la décision 2000/520, la question est posée, selon cette juridiction, de savoir si, du fait de l’article 25, paragraphe 6, de cette directive, le commissaire était lié par la constatation effectuée par la Commission dans cette décision, selon laquelle les États-Unis d’Amérique assurent un niveau de protection adéquat, ou si l’article 8 de la Charte autorisait le commissaire à s’affranchir, le cas échéant, d’une telle constatation.

La Cour de justice va confronté la décision de la Commission 2000/520 aux dispositions de la Charte

La Cour rattache à cette saisie de la juridiction irlandaise la question de la validité de cette décision de la Commission

67 Ainsi qu’il ressort des explications de la juridiction de renvoi relatives aux questions posées, M. Schrems fait valoir, dans la procédure au principal, que le droit et les pratiques des États-Unis n’assurent pas un niveau de protection adéquat au sens de l’article 25 de la directive 95/46. Comme l’a relevé M. l’avocat général aux points 123 et 124 de ses conclusions, M. Schrems émet des doutes, que cette juridiction paraît d’ailleurs partager en substance, concernant la validité de la décision 2000/520. Dans de telles circonstances, eu égard aux constatations faites aux points 60 à 63 du présent arrêt, et afin de donner une réponse complète à ladite juridiction, il convient d’examiner si cette décision est conforme aux exigences découlant de cette directive, lue à la lumière de la Charte.

Effectivement l’article 8 de la Charte de l’Union porte sur la Protection des données à caractère personnel :

1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante.

La Charte de l’Union est là.

La Charte de l’Union s’est vue reconnaitre la même valeur que les traités de l’Union par l’article 6 du Traité de Lisbonne. Le Traite de Lisbonne est là.

La Cour indique que les autorités nationales de contrôle n’ont pas vu leur pouvoir exclu en cas de transfert des données hors de l’Union

56 En outre, il serait contraire au système mis en place par la directive 95/46 ainsi qu’à la finalité des articles 25 et 28 de celle-ci qu’une décision de la Commission adoptée au titre de l’article 25, paragraphe 6, de ladite directive ait pour effet d’empêcher une autorité nationale de contrôle d’examiner la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de ses données à caractère personnel qui ont été ou pourraient être transférées depuis un État membre vers un pays tiers visé par cette décision.

57 Ni l’article 8, paragraphe 3, de la Charte ni l’article 28 de la directive 95/46 n’excluent du domaine de compétence des autorités nationales de contrôle le contrôle des transferts de données à caractère personnel vers des pays tiers ayant fait l’objet d’une décision de la Commission au titre de l’article 25, paragraphe 6, de cette directive.

Le contrôle par la Cour de Justice de la décision de la Commission

La protection des données personnelles constitue un droit fondamental de l’Union et à ce titre la Commission ne dispose que d’un pouvoir réduit d’appréciation du niveau de protection pour prendre sa décision

78 À cet égard, il convient de constater que, compte tenu, d’une part, du rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, du nombre important de personnes dont les droits fondamentaux sont susceptibles d’être violés en cas de transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat, le pouvoir d’appréciation de la Commission quant au caractère adéquat du niveau de protection assuré par un pays tiers s’avère réduit, de sorte qu’il convient de procéder à un contrôle strict des exigences découlant de l’article 25 de la directive 95/46, lu à la lumière de la Charte (voir, par analogie, arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, points 47 et 48).

La Commission n’a pas suffisamment vérifié l’effectivité du niveau de protection aux Etats-Unis

83 En outre, en vertu de l’article 2 de la décision 2000/520, cette dernière «concerne uniquement le caractère adéquat de la protection fournie aux États-Unis par les principes [de la sphère de sécurité] mis en œuvre conformément aux FAQ en vue de répondre aux exigences de l’article 25, paragraphe 1, de la directive [95/46]», sans pour autant contenir les constatations suffisantes quant aux mesures par lesquelles les États-Unis d’Amérique assurent un niveau de protection adéquat, au sens de l’article 25, paragraphe 6, de cette directive, en raison de leur législation interne ou de leurs engagements internationaux.

86 Ainsi, la décision 2000/520 consacre la primauté des «exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des États-Unis» sur les principes de la sphère de sécurité, primauté en vertu de laquelle les organisations américaines autocertifiées recevant des données à caractère personnel depuis l’Union sont tenues d’écarter, sans limitation, ces principes lorsque ces derniers entrent en conflit avec ces exigences et s’avèrent donc incompatibles avec celles‑ci.

87 Eu égard au caractère général de la dérogation figurant à l’annexe I, quatrième alinéa, de la décision 2000/520, celle-ci rend ainsi possible des ingérences, fondées sur des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis, dans les droits fondamentaux des personnes dont les données à caractère personnel sont ou pourraient être transférées depuis l’Union vers les États-Unis. À cet égard, il importe peu, pour établir l’existence d’une ingérence dans le droit fondamental au respect de la vie privée, que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence (arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 33 et jurisprudence citée).

S’agissant de la protection d’un droit fondamental, la Commission n’a pas pu valablement restreindre cette protection sans critère objectif et proportionné à l’objectif poursuivi par les autorités américaines. C’est le caractère trop général de cette décision qui est sanctionné par la Cour de justice

92 En outre et surtout, la protection du droit fondamental au respect de la vie privée au niveau de l’Union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire (arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 52 et jurisprudence citée).

93 Ainsi, n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données [voir en ce sens, en ce qui concerne la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54), arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, points 57 à 61].

94 En particulier, une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la Charte (voir, en ce sens, arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 39).

L’absence de vérification par la Commission que les citoyens européens disposent d’un droit de contrôle effectif par l’accès au juge équivalent à celui garanti dans l’ordre juridique de l’Union

95 De même, une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte. En effet, l’article 47, premier alinéa, de la Charte exige que toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés ait droit à un recours effectif devant un tribunal dans le respect des conditions prévues à cet article. À cet égard, l’existence même d’un contrôle juridictionnel effectif destiné à assurer le respect des dispositions du droit de l’Union est inhérente à l’existence d’un État de droit (voir, en ce sens, arrêts Les Verts/Parlement, 294/83, EU:C:1986:166, point 23; Johnston, 222/84, EU:C:1986:206, points 18 et 19; Heylens e.a., 222/86, EU:C:1987:442, point 14, ainsi que UGT‑Rioja e.a., C‑428/06 à C‑434/06, EU:C:2008:488, point 80).

96 Ainsi qu’il a été constaté notamment aux points 71, 73 et 74 du présent arrêt, l’adoption par la Commission d’une décision au titre de l’article 25, paragraphe 6, de la directive 95/46 exige la constatation dûment motivée, de la part de cette institution, que le pays tiers concerné assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti dans l’ordre juridique de l’Union, tel qu’il ressort notamment des points précédents du présent arrêt.

97 Or, il y a lieu de relever que la Commission n’a pas fait état, dans la décision 2000/520, de ce que les États-Unis d’Amérique «assurent» effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux.

L’article 3 de la décision 2000/520 a limité le pouvoir de contrôle des autorités nationales

99 Il ressort des considérations exposées aux points 53, 57 et 63 du présent arrêt que, au regard de l’article 28 de la directive 95/46, lu à la lumière notamment de l’article 8 de la Charte, les autorités nationales de contrôle doivent pouvoir examiner, en toute indépendance, toute demande relative à la protection des droits et libertés d’une personne à l’égard du traitement de données à caractère personnel la concernant. Il en va en particulier ainsi lorsque, à l’occasion d’une telle demande, cette personne soulève des interrogations quant à la compatibilité d’une décision de la Commission adoptée au titre de l’article 25, paragraphe 6, de cette directive avec la protection de la vie privée et des libertés et droits fondamentaux des personnes.

100 Cependant, l’article 3, paragraphe 1, premier alinéa, de la décision 2000/520 prévoit une réglementation spécifique quant aux pouvoirs dont disposent les autorités nationales de contrôle au regard d’une constatation effectuée par la Commission relativement au niveau de protection adéquat, au sens de l’article 25 de la directive 95/46.

101 Ainsi, aux termes de cette disposition, ces autorités peuvent, «[s]ans préjudice de leurs pouvoirs de prendre des mesures visant à assurer le respect des dispositions nationales adoptées en application de dispositions autres que celles de l’article 25 de la directive [95/46], […] suspendre les flux de données vers une organisation adhérant aux principes [de la décision 2000/520]», dans des conditions restrictives établissant un seuil élevé d’intervention. Si cette disposition ne porte pas préjudice aux pouvoirs de ces autorités de prendre des mesures visant à assurer le respect des dispositions nationales adoptées en application de cette directive, elle exclut, en revanche, la possibilité pour lesdites autorités de prendre des mesures visant à assurer le respect de l’article 25 de cette même directive.

102 L’article 3, paragraphe 1, premier alinéa, de la décision 2000/520 doit donc être compris comme privant les autorités nationales de contrôle des pouvoirs qu’elles tirent de l’article 28 de la directive 95/46, dans le cas où une personne avance, à l’occasion d’une demande au titre de cette disposition, des éléments susceptibles de remettre en cause la compatibilité avec la protection de la vie privée et des libertés et droits fondamentaux des personnes d’une décision de la Commission ayant constaté, sur le fondement de l’article 25, paragraphe 6, de cette directive, qu’un pays tiers assure un niveau de protection adéquat.

103 Or, le pouvoir d’exécution accordé par le législateur de l’Union à la Commission à l’article 25, paragraphe 6, de la directive 95/46 ne confère pas à cette institution la compétence de restreindre les pouvoirs des autorités nationales de contrôle visés au point précédent du présent arrêt.

La Cour a donc annulé la décision de la Commission.

Philippe Schmitt Avocats

Avocats en PI, droits de propriété industrielle

les données personnelles à l’heure des collectes massives et de leur surveillance

Quelques explications sur le litige tel que rapporté à l’arrêt

La Cour de justice va confronté la décision de la Commission 2000/520 aux dispositions de la Charte

Le contrôle par la Cour de Justice de la décision de la Commission