Actualité > À la une
À la une
Libertés fondamentales - droits de l'homme
Facebook trahi par les autorités américaines
Mots-clefs : Protection des données à caractère personnel, Charte des droits fondamentaux de l’UE, Proportionnalité, États-Unis, Pouvoir d’exécution, Contrôle, Accès aux données, Sphère de sécurité », Niveau de protection adéquat
Est invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées.
La protection des données à caractère personnel est sensible au sein de l’Union européenne d’autant plus lorsque les données sont transférées vers des pays tiers. Si les entreprises de réseaux sociaux notamment ont pris l’engagement de protéger les données qui leur sont confiées, cette protection ne résiste pas à l’intervention massive et indifférenciée des autorités publiques américaines sur ces mêmes données. Cette situation conduit la Cour de justice, sur le fondement des articles 7, 8 et 47 de la Charte, à déclarer invalide la décision de la Commission constatant que les États-Unis offrent un niveau de protection adéquat. La Cour affirme en outre que les autorités nationales conservent leur pouvoir de contrôle quant à la protection des données transférées, sans que la Commission puisse les restreindre.
Les arrêts se multiplient en matière de protection des données à caractère personnel. La Cour continue à se montrer extrêmement attentive au maintien d’une protection effective, n’hésitant pas une nouvelle fois à écarter un acte des institutions, ici la décision 2000/520/CE de la Commission européenne. Cet arrêt est d’autant plus intéressant que la Cour de justice s’appuie sur le comportement réel et officieux des autorités publiques américaines, identifié par la Commission. La Cour rappelle également l’importance des autorités et des juridictions nationales dans la protection des droits affirmant qu’elles disposent d’un pouvoir de contrôle indépendamment du contenu des décisions de la Commission européenne.
Cet arrêt résulte de l’acharnement d’un étudiant autrichien ayant ouvert un compte Facebook. Ce dernier a saisi l’autorité de contrôle irlandaise en raison de la présence sur le territoire irlandais de la filiale de Facebook, filiale qui transférait vers les États-Unis, l’ensemble des données des comptes pour leur traitement. Ce transfert était énoncé dans le contrat liant toute personne à Facebook lors de l’inscription. Cependant, au regard des révélations de l’affaire Snowden, l’étudiant a estimé que ses données à caractère personnel n’étaient pas correctement protégées et il demandait à l’autorité irlandaise d’empêcher le transfert des données. La plainte déposée a été rejetée au motif qu’il n’existait pas de preuve que les autorités publiques américaines avaient accédé à ses données. Il a alors saisi la High Court irlandaise qui a choisi de poser des questions préjudicielles. Cette juridiction avait des doutes sur la protection effective des données au regard de l’application des articles 7, 8 et 47 de la Charte des droits fondamentaux en lien avec la décision 2000/520/CE de la Commission qui avait considéré que le régime de la « sphère de sécurité » appliquée par les sociétés américaines garantissaient la protection des données personnelles et la directive 95/46/CE sur le traitement de la protection des données personnelles. La « sphère de sécurité » n’est qu’une acceptation formelle par les entreprises du respect des règles relatives à la protection des données à caractère personnel. La juridiction s’interrogeait ainsi sur la capacité des autorités nationales à opérer un contrôle sur la protection des données à partir de la Charte alors même que la Commission avait pris une décision pour assurer du caractère adéquat de la protection.
La Cour de justice répond sans hésitation que les autorités nationales conservent un pouvoir de contrôle tant qu’elles ne remettent pas directement en cause la validité d’une norme de l’Union. En revanche, en cas de doute, elles peuvent saisir la Cour de justice dans le cadre d’un renvoi préjudiciel (CJCE, 22 oct. 1987, Foto-Frost contre Hauptzollamt Lübeck-Ost, 314/85). Cependant, au-delà de la solution, il est utile de revenir sur le raisonnement des juges.
Tout d’abord, la Cour revient sur les obligations découlant de la directive 95/46/CE relative au traitement des données à caractère personnel. Les États membres ont l’obligation d’instituer des autorités de contrôle, dont l’indépendance est garantie. Ces autorités peuvent contrôler si le transfert de données vers les États tiers respecte les droits fondamentaux. A cette fin, les autorités nationales disposent de pouvoirs d’investigation, d’intervention, notamment en pouvant interdire temporairement ou définitivement le transfert de données. Le fait que la Commission ait adopté une décision ne fait pas obstacle à ce contrôle, au regard du contenu de la directive 95/46/CE. La compétence étatique demeure afin de garantir une protection effective. A cette occasion, la Cour précise que l’Union est une union de droit et que tout acte mettant en œuvre le droit de l’Union peut faire l’objet d’un contrôle.
Ensuite, la Cour examine la validité de la décision 2000/520/CE de la Commission qui reconnaît l’existence d’un niveau de protection adéquat aux données à caractère personnel aux États-Unis. La Cour précise que derrière le terme « adéquat », il ne s’agit pas de rechercher si l’État tiers offre une protection identique à celle de l’Union, mais un niveau de protection effectif au regard des droits fondamentaux tels que la Charte de l’Union les envisage. Il revient à la Commission d’effectuer cet examen lorsqu’elle prend une décision conformément à la directive 95/46/CE. Or la décision 2000/520/CE de la Commission repose sur l’adhésion aux principes de la sphère de sécurité. La sphère de sécurité repose elle-même sur un système d’auto certification des entreprises notamment de réseaux sociaux. En adhérant à cette sphère, il y a, pour la Commission, une présomption pour les entreprises concernées de respect des données à caractère personnel.
Cependant, pour la Cour, si ce système peut être admis, il ne résiste pas aux pratiques des autorités publiques américaines. Non seulement les autorités américaines ne sont pas soumises au respect de ces principes mais elles peuvent obliger les entreprises à y déroger pour des raisons de sécurité publique, d’intérêt général ou de respect de la loi. Les ingérences concernant le respect des droits fondamentaux sont ainsi possibles. Or la Commission ne fait pas référence, dans sa décision, à ces éventuelles ingérences, alors même qu’elle a reconnu leur existence dans d’autres communications. En outre, la Cour précise que les particuliers ne disposent pas de voies de droit pour se défendre.
Ainsi, la Cour juge que les ingérences identifiées ne respectent pas les conditions de la nécessité et de la proportionnalité prévues par la Charte des droits fondamentaux de l’Union. En effet, l’accès aux données est généralisé, il n’y a pas de limitation à leur accès en fonction d’objectifs poursuivis, de restrictions quant aux personnes pouvant y avoir accès.
La Cour retient finalement pour partie des griefs identiques à ceux qu’elles avaient retenus contre la directive de l’Union relative à la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication (CJUE, 8 avr. 2014, Digital Rights Ireland, C-293/12).
Enfin, la Cour ajoute que la Commission n’avait pas la compétence pour priver les autorités nationales de leur pouvoir de contrôle sur le fondement de la directive 95/46/CE. Dès lors les juges de l’Union ont, sans hésiter, prononcé l’invalidité de la décision de la Commission.
CJUE 6 octobre 2015, Thierry Maximilliam Schrems c/ Data Protection Commissioner, C-362/14
Références
■ Charte des droits fondamentaux de l’Union européenne
Article 7
« Respect de la vie privée et familiale. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »
Article 8
« Protection des données à caractère personnel. 1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. »
Article 47
« Droit à un recours effectif et à accéder à un tribunal impartial. Toute personne dont les droits et libertés garantis par le droit de l'Union ont été violés a droit à un recours effectif devant un tribunal dans le respect des conditions prévues au présent article.
Toute personne a droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai raisonnable par un tribunal indépendant et impartial, établi préalablement par la loi. Toute personne a la possibilité de se faire conseiller, défendre et représenter.
Une aide juridictionnelle est accordée à ceux qui ne disposent pas de ressources suffisantes, dans la mesure où cette aide serait nécessaire pour assurer l'effectivité de l'accès à la justice. »
■ Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
■ Décision 2000/520/CE de la Commission du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique.
■ CJCE, 22 oct. 1987, Foto-Frost contre Hauptzollamt Lübeck-Ost, 314/85.
■ CJUE, 8 avr. 2014, Digital Rights Ireland, C-293/12, AJDA 2014. 773 ; D. 2014. 1355; RTD eur. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoit-Rohmer.
Autres À la une
-
[ 20 décembre 2024 ]
À l’année prochaine !
-
Droit du travail - relations collectives
[ 20 décembre 2024 ]
Salariés des TPE : à vous de voter !
-
Droit du travail - relations individuelles
[ 19 décembre 2024 ]
Point sur la protection de la maternité
-
Libertés fondamentales - droits de l'homme
[ 18 décembre 2024 ]
PMA post-mortem : compatibilité de l’interdiction avec le droit européen
-
Droit de la famille
[ 17 décembre 2024 ]
GPA : l’absence de lien biologique entre l’enfant et son parent d’intention ne s’oppose pas à la reconnaissance en France du lien de filiation établi à l'étranger
- >> Toutes les actualités À la une