Sylvie Peyrou, CDRE
« This is the second time in as many years the world has relied upon #CJUE to defend digital rights. Thank you Europe ». Le tweet d’Edward Snowden publié quelques heures après l’arrêt de la Cour de Justice du 6 octobre dans l’affaire Max Schrems (C-362/14) résume bien l’enjeu de cette affaire tout en rendant un hommage mérité à la juridiction européenne.
La Cour de justice ne s’est pas dérobée, et elle a rendu le 6 octobre un arrêt en tous points conforme aux conclusions de l’Avocat général Yves Bot (relatées ici-même), n’hésitant pas à faire usage de la véritable bombe que lui avait suggéré d’employer l’Avocat général.
Rappelons les faits : l’étudiant autrichien à l’origine du contentieux, Max Schrems, s’est plaint auprès de l’autorité irlandaise de protection, du transfert de ses données fournies à Facebook à des serveurs situés sur le territoire des Etats-Unis, via la filiale irlandaise de l’entreprise américaine. Il estime en effet, dans le contexte de l’affaire « Prism » révélée par Edward Snowden en 2013, que tant le droit que la pratique des Etats-Unis n’offrent aucune protection contre la surveillance par l’Etat américain des données transférées vers ce pays. Sa plainte toutefois a été rejetée au motif que la Commission européenne, par une décision du 26 juillet 2000 (2000/520/CE), a estimé que, dans le cadre du régime dit de la « sphère de sécurité (« Safe Harbor »), les Etats-Unis assurent un niveau adéquat de protection aux données personnelles transférées.
La High Court of Ireland (Haute Cour de Justice irlandaise), saisie de l’affaire, a alors posé à la CJUE les questions de savoir si la décision « d’adéquation » de la Commission empêche nécessairement et obligatoirement une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat, et éventuellement d’ordonner la suspension du transfert des données contestées.
Dans son arrêt rendu avec une belle célérité – il faut le souligner – la Cour a repris l’essentiel des conclusions de l’Avocat général, jugeant ainsi (dans les mêmes termes que ce dernier) que la décision de la Commission, constatant le niveau adéquat de protection assuré par les Etats-Unis, autorisant le transfert des données à caractère personnel vers ce pays, ne saurait « ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle par l’article 8 paragraphe 3 de la Charte » (§ 53 de l’arrêt). La Cour a d’ailleurs insisté de façon liminaire sur l’importance de la Charte, référence à l’aune de laquelle il convient d’interpréter la directive 95/46/CE.
La Cour, toujours dans le droit fil des conclusions, en a ensuite déduit que « les autorités nationales de contrôle, saisies par une personne d’une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par [la] directive » (§ 57).
Elle ne manque pas de rappeler en revanche son monopole en matière d’appréciation de validité des actes du droit dérivé de l’Union. Elle indique de la sorte que les juridictions nationales, saisies par un requérant de la décision d’une autorité nationale de contrôle rejetant une telle demande, sont tenues de surseoir à statuer et de saisir la Cour d’une procédure de renvoi préjudiciel en appréciation de validité, lorsqu’elles considèrent qu’un ou plusieurs moyens d’invalidité avancés par les parties sont fondés.
La Cour de justice, dans un second temps, suivant en cela le chemin tracé par l’Avocat général, requalifie la demande d’interprétation et examine la question de la validité de la décision de la Commission (ayant constaté le « niveau de protection adéquat » assuré aux Etats-Unis, exigé par la directive 95/46 pour le transfert de données vers des pays tiers).
Elle note ainsi de la même façon que M. Bot que le terme « adéquat » ne signifie pas que le pays tiers doit assurer un niveau de protection des libertés et droits fondamentaux « identique » à celui garanti dans l’ordre juridique de l’Union, mais à tout le moins « substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte » (§ 73).
Or, la Cour se livre à un constat sévère sur l’inertie de la Commission, n’ayant pas réexaminé les circonstances justifiant l’adoption de sa décision 2000/520, alors qu’elle avait elle-même constaté un certain nombre de dysfonctionnements (accès des autorités américaines aux données transférées, traitées en outre d’une manière incompatible avec les finalités de leur transfert, absence de voies de droit administratives ou judiciaires pour les citoyens européens) dans ses communications COM(2013)846 final et COM(2013)847 final, intitulées respectivement « Rétablir la confiance dans les flux de données entre l’Union européenne et les Etats-Unis d’Amérique » et « Communication relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l’Union et des entreprises établies sur son territoire ».
Dans un considérant de principe, la Cour constate surtout que : « n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données » (§ 93).
Partant, la Cour juge que l’accès des autorités publiques américaines « de manière généralisée », au contenu des communications électroniques (par le biais du programme Prism révélé par E. Snowden) porte atteinte au contenu essentiel du droit fondamental au respect de la vie privée, garanti part l’article 7 de la Charte.
Le manque de garanties en faveur des individus (qui avait été souligné par exemple dans l’arrêt Digital Rights Ireland, C-293/12 et C-594/12), est en outre pointé du doigt par la Cour, qui constate l’absence de voies de droit au profit des justiciables, ce qui constitue une violation du droit fondamental à une protection juridictionnelle effective (article 47 de la Charte).
Au total, faute d’un niveau de protection des droits fondamentaux « substantiellement équivalent » à celui garanti dans l’ordre juridique de l’Union, la Cour juge la décision d’adéquation de la Commission invalide. Ce constat est enfin renforcé par la constatation selon laquelle la Commission, par sa décision 2000/520, ne pouvait priver les autorités nationales de contrôle de leurs pouvoirs résultant de la directive 95/46. L’acte adopté ultra vires est donc invalide.
Quant à la portée de cet arrêt, elle est ce que laissaient présager les conclusions de l’Avocat général : une bombe dans les relations transatlantiques. Le vice-président de la Commission, M. Timmermans, et la commissaire à la justice, Mme Jourova, ne s’y sont pas trompés, faisant une conférence de presse commune (STATEMENT/15/5782) le jour même où la Cour a rendu son arrêt. Au-delà de la constatation, inévitable et convenue, selon laquelle ce jugement « is an important step towards upholding Europeans’ fundamental rights to data protection », l’exercice avait surtout pour ambition de rassurer les opérateurs économiques, leur montrant qu’il existait des solutions alternatives afin d’assurer le transfert de données vers les Etats-Unis dès lors que la décision d’adéquation, qui en constituait la base juridique, a été déclarée invalide.
La directive 95/46 en cours de révision prévoit elle-même en effet un certain nombre d’hypothèses autorisant le transfert de données vers un pays tiers (assurer la bonne exécution d’un contrat commercial, assurer les intérêts vitaux d’une personne dont les données médicales doivent être transférées d’urgence, présence du consentement explicite de la personne…). Les techniques des « clauses contractuelles type » ou des « règles d’entreprise contraignantes » (Binding corporate rules) sont également des moyens alternatifs, même si elles ne présentent pas nécessairement les mêmes garanties. L’une des priorités de la Commission, Mme Jourova l’a clairement affirmé, est de continuer à assurer les « transatlantic data flows », très importants d’un point de vue économique, pour les deux rives de l’Atlantique au demeurant.
Un point positif plus engageant pour le citoyen européen est que cet arrêt place la Commission désormais en position de force pour poursuivre – et conclure – les re-négociations de l’accord Safe Harbor.
Il reste à la Commission à établir des lignes directrices (elles sont annoncées dans la conférence de presse) afin d’éclairer les autorités nationales de protection des données, sur les suites de l’arrêt (comment en particulier traiter les demandes de transfert de données vers les Etats-Unis à la lumière du jugement de la Cour ?). La commission s’appuiera pour ce faire sur le « Groupe de Travail de l’article 29 », comme ce dernier l’a lui-même indiqué dans son communiqué de presse (6 octobre 2015).
Un point important de l’arrêt enfin est sa condamnation de toute conservation de données de façon généralisée et indifférenciée, réitérant la solution posée par l’arrêt Digital Rights Ireland. C’est un nouvel avertissement, on ne peut plus clair, à l’intention du législateur européen, qui doit incessamment se pencher sur l’examen de la future directive PNR.
Grâce à la Cour de justice, la protection des droits fondamentaux de manière générale – la protection des données à caractère personnel en particulier – redevient le cœur (employons la formule de façon polysémique…) de toute action de l’Union européenne. Un autre tweet d’Edward Snowden indiquait le 6 octobre « Congratulations, @ MaxSchrems. You’ve changed the world for the better ».