[ 13 octobre 2015 ]

Libertés fondamentales - droits de l'homme

Facebook trahi par les autorités américaines

Mots-clefs : Protection des données à caractère personnel, Charte des droits fondamentaux de l’UE, Proportionnalité, États-Unis, Pouvoir d’exécution, Contrôle, Accès aux données, Sphère de sécurité », Niveau de protection adéquat

La protection des données à caractère personnel est sensible au sein de l’Union européenne d’autant plus lorsque les données sont transférées vers des pays tiers. Si les entreprises de réseaux sociaux notamment ont pris l’engagement de protéger les données qui leur sont confiées, cette protection ne résiste pas à l’intervention massive et indifférenciée des autorités publiques américaines sur ces mêmes données. Cette situation conduit la Cour de justice, sur le fondement des articles 7, 8 et 47 de la Charte, à déclarer invalide la décision de la Commission constatant que les États-Unis offrent un niveau de protection adéquat. La Cour affirme en outre que les autorités nationales conservent leur pouvoir de contrôle quant à la protection des données transférées, sans que la Commission puisse les restreindre.

Les arrêts se multiplient en matière de protection des données à caractère personnel. La Cour continue à se montrer extrêmement attentive au maintien d’une protection effective, n’hésitant pas une nouvelle fois à écarter un acte des institutions, ici la décision 2000/520/CE de la Commission européenne. Cet arrêt est d’autant plus intéressant que la Cour de justice s’appuie sur le comportement réel et officieux des autorités publiques américaines, identifié par la Commission. La Cour rappelle également l’importance des autorités et des juridictions nationales dans la protection des droits affirmant qu’elles disposent d’un pouvoir de contrôle indépendamment du contenu des décisions de la Commission européenne.

Cet arrêt résulte de l’acharnement d’un étudiant autrichien ayant ouvert un compte Facebook. Ce dernier a saisi l’autorité de contrôle irlandaise en raison de la présence sur le territoire irlandais de la filiale de Facebook, filiale qui transférait vers les États-Unis, l’ensemble des données des comptes pour leur traitement. Ce transfert était énoncé dans le contrat liant toute personne à Facebook lors de l’inscription. Cependant, au regard des révélations de l’affaire Snowden, l’étudiant a estimé que ses données à caractère personnel n’étaient pas correctement protégées et il demandait à l’autorité irlandaise d’empêcher le transfert des données. La plainte déposée a été rejetée au motif qu’il n’existait pas de preuve que les autorités publiques américaines avaient accédé à ses données. Il a alors saisi la High Court irlandaise qui a choisi de poser des questions préjudicielles. Cette juridiction avait des doutes sur la protection effective des données au regard de l’application des articles 7, 8 et 47 de la Charte des droits fondamentaux en lien avec la décision 2000/520/CE de la Commission qui avait considéré que le régime de la « sphère de sécurité » appliquée par les sociétés américaines garantissaient la protection des données personnelles et la directive 95/46/CE sur le traitement de la protection des données personnelles. La « sphère de sécurité » n’est qu’une acceptation formelle par les entreprises du respect des règles relatives à la protection des données à caractère personnel. La juridiction s’interrogeait ainsi sur la capacité des autorités nationales à opérer un contrôle sur la protection des données à partir de la Charte alors même que la Commission avait pris une décision pour assurer du caractère adéquat de la protection.

La Cour de justice répond sans hésitation que les autorités nationales conservent un pouvoir de contrôle tant qu’elles ne remettent pas directement en cause la validité d’une norme de l’Union. En revanche, en cas de doute, elles peuvent saisir la Cour de justice dans le cadre d’un renvoi préjudiciel (CJCE, 22 oct. 1987, Foto-Frost contre Hauptzollamt Lübeck-Ost, 314/85). Cependant, au-delà de la solution, il est utile de revenir sur le raisonnement des juges.

Tout d’abord, la Cour revient sur les obligations découlant de la directive 95/46/CE relative au traitement des données à caractère personnel. Les États membres ont l’obligation d’instituer des autorités de contrôle, dont l’indépendance est garantie. Ces autorités peuvent contrôler si le transfert de données vers les États tiers respecte les droits fondamentaux. A cette fin, les autorités nationales disposent de pouvoirs d’investigation, d’intervention, notamment en pouvant interdire temporairement ou définitivement le transfert de données. Le fait que la Commission ait adopté une décision ne fait pas obstacle à ce contrôle, au regard du contenu de la directive 95/46/CE. La compétence étatique demeure afin de garantir une protection effective. A cette occasion, la Cour précise que l’Union est une union de droit et que tout acte mettant en œuvre le droit de l’Union peut faire l’objet d’un contrôle. 

Ensuite, la Cour examine la validité de la décision 2000/520/CE de la Commission qui reconnaît l’existence d’un niveau de protection adéquat aux données à caractère personnel aux États-Unis. La Cour précise que derrière le terme « adéquat », il ne s’agit pas de rechercher si l’État tiers offre une protection identique à celle de l’Union, mais un niveau de protection effectif au regard des droits fondamentaux tels que la Charte de l’Union les envisage. Il revient à la Commission d’effectuer cet examen lorsqu’elle prend une décision conformément à la directive 95/46/CE. Or la décision 2000/520/CE de la Commission repose sur l’adhésion aux principes de la sphère de sécurité. La sphère de sécurité repose elle-même sur un système d’auto certification des entreprises notamment de réseaux sociaux. En adhérant à cette sphère, il y a, pour la Commission, une présomption pour les entreprises concernées de respect des données à caractère personnel. 

Cependant, pour la Cour, si ce système peut être admis, il ne résiste pas aux pratiques des autorités publiques américaines. Non seulement les autorités américaines ne sont pas soumises au respect de ces principes mais elles peuvent obliger les entreprises à y déroger pour des raisons de sécurité publique, d’intérêt général ou de respect de la loi. Les ingérences concernant le respect des droits fondamentaux sont ainsi possibles. Or la Commission ne fait pas référence, dans sa décision, à ces éventuelles ingérences, alors même qu’elle a reconnu leur existence dans d’autres communications. En outre, la Cour précise que les particuliers ne disposent pas de voies de droit pour se défendre. 

Ainsi, la Cour juge que les ingérences identifiées ne respectent pas les conditions de la nécessité et de la proportionnalité prévues par la Charte des droits fondamentaux de l’Union. En effet, l’accès aux données est généralisé, il n’y a pas de limitation à leur accès en fonction d’objectifs poursuivis, de restrictions quant aux personnes pouvant y avoir accès.

La Cour retient finalement pour partie des griefs identiques à ceux qu’elles avaient retenus contre la directive de l’Union relative à la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication (CJUE, 8 avr. 2014, Digital Rights Ireland, C-293/12). 

Enfin, la Cour ajoute que la Commission n’avait pas la compétence pour priver les autorités nationales de leur pouvoir de contrôle sur le fondement de la directive 95/46/CE. Dès lors les juges de l’Union ont, sans hésiter, prononcé l’invalidité de la décision de la Commission.

CJUE 6 octobre 2015, Thierry Maximilliam Schrems c/ Data Protection Commissioner, C-362/14