La Cour de Justice de l'Union européenne a rendu mardi 6 octobre un arrêt retentissant dans le domaine des données à caractère personnel qui peut donc impacter le domaine de l'e-réputation.

Les faits

Le 26 juillet 2000 la Commission européenne a publié une décision reconnaissant la "pertinence" du respect des données à caractère personnel par la "sphère de sécurité" (en américain "Safe harbor privacy principles"), norme contractuelle de protection des données publiée par le ministre du commerce des États-Unis, et que les entreprises ont la possibilité d'adopter.
À partir de cette décision (n°2000/520/CE), et conformément à la Directive européenne sur la protection des données à caractère personnel n°95/46/CE qui conditionne l'export de données vers un État non membre de l'Union à la garantie que celui-ci respecte le même niveau de protection, les échanges de données ont pu être envisagés entre les États membres de l'Union européenne et l'ensemble des États-Unis depuis 2000.

À la suite de l'exploitation à ses yeux abusive de données le concernant par Facebook, un Autrichien a saisi l'autorité de protection des données irlandaise (lieu de résidence de Facebook en Europe). Celle-ci a rejeté la plainte au vu de la Décision de la Commission mentionnée ci-dessus. La High Court of Ireland, l'équivalent de notre Cour de cassation, saisie de l'affaire, a souhaité interroger la CJUE pour savoir si la décision da la Commission de 2000 empêchait une autorité nationale de contrôle des données d'enquêter aux fins d'établir si un traitement de données était on non conforme à la loi nationale et à la directive.

C'est donc sur le terrain de l'indépendance des autorités type Cnil des 28 États membres que la question a été posée à la CJUE.

La réponse va bien au-delà de cette simple question.

L'indépendance des autorités de protection réaffirmée

Sur ce premier terrain, la cour confirme l'indépendance des autorités de protection des données personnelles (à l'instar de notre Cnil, première "autorité administrative indépendante" à avoir été créée dans notre pays en 1978), renvoyant ainsi l'autorité irlandaise à ses responsabilités et lui suggérant de ne pas tenir compte de la décision de la Commission et d'examiner au fond les faits. Cet aspect de l'arrêt du 6 octobre a été peu médiatisé, le second volet de la décision provoquant un séisme autrement plus important.

L'invalidité de la Décision de la commission

La CJUE, se livrant à une analyse détaillée de la décision, relève que le Safe Harbor "est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises". En d'autres termes, le Safe Harbor n'est qu'une coquille protectrice sans valeur contraignante pour tous aux États-Unis, d'autant plus que les autorités publiques de ce pays ne s'y soumettent pas.

Cette analyse de la Cour est corroborée par le constat que "les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale". C'est ce que l'on a qualifié de manière ramassée de "transfert de données en masse", expression qui sous-entend que ces données sont transférées sans aucune sélection en fonction de la finalité d'un traitement spécifique, ce qui est contraire à la directive.

La Cour relève encore "qu’il n’existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant, notamment, d’accéder aux données les concernant et, le cas échéant, d’obtenir leur rectification ou leur suppression" (toutes les citations sont issues du communiqué de presse de la CJUE en date du 6 octobre). Autrement dit, aucun des droits reconnus aux intéressés par les lois européennes ne sont respectées aux États-Unis.

La Cour en déduit donc logiquement que la décision de la Commission de 2000, qui reconnaissait la "pertinence" – c'est-à-dire la conformité – des règles de protection des données personnelles aux États-Unis est erronée puisque les faits montrent que cette protection n'existe pas, sauf peut-être pour les seules entreprises privées qui ont adopté le Safe Harbor et le respectent effectivement.

Elle ne peut, dans ce cas, que prononcer l'invalidation de la décision.

Les conséquences multiples d'un tel arrêt

Nous nous bornons aujourd'hui à rendre compte de cet arrêt qui va avoir d'énormes répercussions sur les échanges de données personnelles transatlantiques, mais aussi sur le fonctionnement de la Commission européenne dont on s'aperçoit qu'elle est capable de prendre des décisions entachées de vices juridiques majeurs qui sacrifient un peu facilement la protection des ressortissants européens. Elle réaffirme et renforce également le pouvoir des juges suprêmes de l'Union et celui des autorités de protection de données personnelles dans les 28 pays de l'Union européenne.

Nous reviendrons sur les points les plus emblématiques à nos yeux de cette décision.

En savoir plus

Voir le communiqué de presse de la CJUE sur le site de la Cour (pdf, 225 Ko) :
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf
Voir l'arrêt lui-même sur le même site :
http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195

Au service de votre réputation

Voir notre blog spécialisé sur l’e-réputation : www.votre-reputation.com
Et spécialement la rubrique Particuliers : www.votre-reputation.com/particuliers/