Jamais deux sans trois. L’arrêt Schrems du 6 octobre 2015 constitue le troisième arrêt de Grande Chambre rendu par la CJUE en un peu plus d’un an dans le domaine de la protection des données personnelles, après les arrêts Google Spain et Digital Rights Ireland. Le point commun entre ces arrêts résulte dans la volonté de la CJUE de se poser en cour constitutionnelle, chargée de veiller au respect des droits fondamentaux inscrits dans la Charte des droits fondamentaux de l’Union européenne (UE). La CJUE garantit ainsi un niveau élevé de protection des données personnelles dans l’UE et auprès des citoyens européens.
Jamais deux sans trois. L’arrêt Schrems du 6 octobre 2015 doit s’interpréter dans un triple contexte.
Premièrement cette affaire peut s’analyser comme une première victoire tangible dans la bataille légale européenne menée contre les activités de surveillance massive gouvernementale alors même qu’un nouveau recours contre la loi française de renseignement vient d’être déposé devant la Cour européenne des droits de l’homme. L’arrêt Schrems est à lui seul l’allégorie d’un combat entre David et Goliath. Il témoigne de la ténacité d’un étudiant autrichien en droit de 28 ans pour faire reconnaître l’insuffisance de la protection des données personnelles assurée par la société Facebook à ses utilisateurs du fait des pratiques des services de renseignement américain qui ont été révélées par Edward Snowden.
Deuxièmement, l’affaire Schrems illustre les problèmes juridiques soulevés par les transferts des données personnelles des citoyens européens vers les États-Unis. Un nombre important de sociétés du numérique sont des sociétés américaines. Le transfert des données personnelles est aussi l’usage dans la pratique répandue du cloud computing. Plus largement, les enjeux autour des transferts de données personnelles européennes s’intègrent dans le débat politique actuel sur la nécessité d’organiser la souveraineté numérique européenne.
Troisièmement, l’affaire Schrems vient se glisser dans l’agenda de l’adoption de la réforme européenne actuelle de la protection des données dont l’achèvement a été annoncé pour la fin 2015. La future règlementation des transferts des données personnelles vers les pays tiers n’a pas encore fait l’objet d’un accord au sein du trilogue. La motivation de la CJUE ne manquera pas d’être utilisée par le Parlement européen pour tenter d’imposer au Conseil le renforcement de certaines garanties.
Jamais deux sans trois. La consécration du rôle crucial des autorités nationales de protection des données et la clarification de la notion de niveau de protection adéquat constituent le double apport de l’arrêt Schrems. En revanche, une troisième question n’est pas abordée dans cet arrêt : celle de sa portée tant sur des transferts transatlantiques de données que sur la question plus générale de l’encadrement de la surveillance massive gouvernementale.
L’affirmation du rôle crucial des autorités nationales de protection des données dans la conception européenne
La question des pouvoirs des autorités nationales chargées de la protection des données personnelles en vertu de la directive 95/46 était au cœur de la problématique du litige national. Le siège européen de Facebook étant situé à Dublin, M. Schrems a saisi le commissaire irlandais à la protection des données personnelles, qui a rejeté sa plainte en se fondant sur la décision Safe Harbor de la Commission. Examinant cette décision de rejet, la Haute Cour de justice irlandaise a souligné les faiblesses juridiques de la décision Safe Harbor et son inconstitutionnalité au regard du droit irlandais. Elle a saisi la CJUE à titre préjudiciel afin de déterminer si le commissaire irlandais à la protection des données personnelles était tenu de se conformer à la décision Safe Harbor de la Commission européenne constatant l’existence d’un niveau de protection adéquat aux données personnelles transférées vers les États-Unis.
La CJUE répond clairement par la négative. Elle rappelle ainsi la place cruciale accordée à la régulation de la protection des données par ces autorités nationales dans la conception européenne. Elle souligne que ce rôle essentiel dispose aujourd’hui d’une double base juridique. L’article 28 directive 95/46 a été constitutionnalisé en quelque sorte par l’article 8, § 3, de la Charte. Cette disposition consacrée à la protection des données personnelles précise que « le respect de ces règles est soumis au contrôle d’une autorité indépendante ». Cela se traduit par l’obligation pour chaque État membre de créer de telles autorités nationales en tant qu’autorités indépendantes. Cela implique également l’obligation de maintenir les conditions nécessaires pour garantir cette indépendance. Cette indépendance est une condition essentielle pour assurer l’efficacité et la fiabilité du contrôle du respect de la protection des données personnelles par l’ensemble des acteurs qu’ils soient des entreprises ou des États.
La CJUE en déduit trois conséquences. Premièrement, elle consacre le droit pour toute personne de pouvoir saisir une autorité nationale de protection des données, si elle s’estime lésée dans ses droits fondamentaux du fait d’un transfert de ses données personnelles vers un pays tiers. Cela se traduit par la compétence des autorités nationales de protection pour examiner ce type de plainte, même en présence d’une décision de protection adéquate de la Commission. Deuxièmement, cette indépendance institutionnelle de la Commission s’accompagne également d’une indépendance procédurale. En effet, la CJUE remet en cause la possibilité pour la Commission européenne de limiter les hypothèses dans lesquelles les autorités nationales de protection des données pourraient suspendre les flux de données vers une organisation adhérant au Safe Harbor. Elle invalide ainsi l’article 3 de la décision Safe Harbor en tant que « règlementation spécifique », excluant la possibilité pour les autorités nationales de protection des données de prendre des mesures visant à s’assurer qu’aucun transfert de données personnelles n’ait lieu vers un pays n’ayant pas un niveau de protection adéquat. La CJUE rappelle également qu’en cas de doutes sérieux de la part de l’autorité nationale sur le caractère adéquat de la protection constatée dans une décision de la Commission, elle doit disposer de la possibilité d’un recours devant les juridictions nationales qui pourront, le cas échéant, interroger la CJUE à titre préjudiciel.
Troisièmement, la mise en exergue des autorités nationales de protection des données dans la conception européenne interroge implicitement sur sa compatibilité avec le système américain. La CJUE ne va pas jusqu’au bout de cette logique en examinant le statut de la Federal Trade Commission (FTC). En revanche, l’avocat général rappelle que « la FTC ne joue pas un rôle comparable à celui des autorités nationales de contrôle prévues à l’article 28 de la directive 95/46 » (point 205). Il considère alors que la décision Safe Harbor aurait dû être accompagnée par « la mise en place d’un mécanisme de contrôle assuré par une autorité administrative indépendante spécialisée en matière de protection des données à caractère personnel » (pt 209).
La clarification de la notion de niveau de protection adéquat pour les transferts des données vers les pays tiers
La définition de la notion de niveau de protection adéquat est essentielle puisqu’elle conditionne la possibilité de transférer des données dans un pays tiers. Pourtant, elle n’a fait l’objet d’aucune définition dans la directive 96/45. Selon la CJUE, la notion de niveau adéquat de protection ne signifie pas que la protection assurée dans l’État tiers doit être identique à celle garantie dans l’UE. La CJUE ne remet pas en cause le principe d’une protection qui repose comme aux États-Unis sur l’auto-certification des entreprises mais plutôt l’absence de contrôles efficaces mis en place.
La CJUE considère que, pour être adéquate, la protection doit être substantiellement équivalente. Cela suppose d’examiner l’ensemble du système de protection mis en place dans l’ordre juridique de l’État concerné, c’est-à-dire sa législation interne mais également ses engagements internationaux. Les principales critiques émises par la CJUE concernent le champ d’application restreint de la décision Safe Harbor qui finalement laisse les autorités publiques américaines en dehors des principes qu’elle pose. En effet, la décision Safe Harbor consacre « la primauté des exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des États-Unis ». Elle n’apporte aucune garantie contre les ingérences dans les droits fondamentaux des personnes dont les données sont transférées aux États-Unis ni contre les risques d’abus. La généralité des dérogations ainsi que leurs utilisations ne permet pas d’assurer que les ingérences dans la protection des données personnelles soient limitées au strict nécessaire. La CJUE met en particulier l’accent sur l’absence de droit à un recours effectif qui permettrait aux citoyens européens de dénoncer une violation de leurs droits fondamentaux. La CJUE ne manque pas de souligner que la Commission elle-même avait émis des doutes sur le niveau de protection adéquat des États-Unis à travers deux rapports en 2013. L’avocat général est là encore plus direct, il considère que, dans ces circonstances, « la Commission aurait dû suspendre l’application de la décision 2000/520 » (pt 226). Une telle demande avait d’ailleurs été faite en 2014 par le Parlement européen.
Au final, l’affaire Schrems prend les allures d’une décision Solange. Si la formulation n’est pas celle de la Cour constitutionnelle allemande, la CJUE rappelle implicitement que, tant que la protection des données ne sera pas garantie aux États-Unis de façon équivalente à celle de l’Union européenne, la liberté des transferts de données vers ce pays ne sera plus assurée.
L’absence de délimitation des effets de l’arrêt
La CJUE, comme dans les précédents arrêts de Grande Chambre précités, ne donne aucun élément sur les effets de son arrêt. Le respect des droits fondamentaux étant en jeu, elle n’évoque pas la possibilité de limiter les effets de son arrêt dans le temps.
L’une des premières interrogations concernt le sort des 5 478 entreprises américaines, dont Google, Facebook, Amazon, Apple et Microsoft, qui bénéficiaient du Safe Harbor pour librement transférer les données personnelles vers les États-Unis. Certes, la directive prévoit d’autres mécanismes pour faciliter les échanges de données personnelles vers des pays tiers, tels que les règles contraignantes d’entreprises ou les clauses contractuelles. En outre, les transferts peuvent être autorisés au titre des six exceptions prévues à l’article 26 de la directive 95/46. Cela inclut notamment le cas où la personne donne indubitablement son consentement au transfert.
L’arrêt de la CJUE aura néanmoins pour effet de provoquer la reformulation d’un cadre juridique pour permettre de nouveau la liberté des transferts des données entre l’UE et les États-Unis. Les acteurs économiques invoquent déjà la nécessité pour la Commission européenne, les États-Unis et pour les autorités nationales de protection de combler le vide juridique laissé par l’arrêt Schrems.
Cet arrêt aura également un impact sur l’ensemble des réformes en cours concernant la protection des données : celles qui concernent les relations transatlantiques, notamment les négociations autour d’une nouvelle décision Safe Harbor 2, mais également le récent accord sur la protection des données des citoyens européens dans le cadre d’un échange d’informations judiciaires ou encore la proposition de directive PNR relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière. Pour autant, la priorité semble aujourd’hui la finalisation de la réforme du cadre européen de la protection des données annoncée pour la fin de l’année. L’arrêt de la CJUE devrait donner des armes supplémentaires au Parlement européen dans sa négociation avec le Conseil sur la nécessité de mieux encadrer les décisions de niveau de protection adéquat en prévoyant des mécanismes d’évaluations régulières et en élargissant les possibilités de suspension.
En conclusion, il sera illusoire de considérer que l’arrêt Schrems ne change rien. D’une part, il pourrait inciter les acteurs économiques à une plus grande responsabilité sociétale en matière de protection des données pouvant aller jusqu’à privilégier le stockage des données des citoyens européens dans l’Union européenne. D’autre part, il contribue au débat démocratique sur les programmes de surveillance massive des États. En effet, comme le souligne l’avocat général dans cette affaire, il semble acquis qu’une « surveillance massive non ciblée est disproportionnée par nature et constitue une ingérence injustifiée dans les droits garantis par les articles 7 et 8 de la Charte des droits fondamentaux » (pt 200).
