"Safe Harbor" : l’arrêt de la CJUE et ses conséquences

Facebook, Microsoft, Google, mais aussi General Motors, ExxonMobil ou encore Ford… Tous ces grands groupes américains utilisent le Safe Harbor pour transférer des données personnelles de leurs clients depuis l’UE vers les États-Unis (Liste des entreprises adhérentes disponible sur le site safeharbor.export.gov). Cet accord entre les autorités outre-Atlantique et la Commission européenne a été matérialisé par une décision de la Commission du 26 juillet 2000 dans laquelle elle a estimé que si les entreprises américaines respectent le Safe Harbor, alors le niveau de protection adéquat pour le transfert de données de l’UE vers les États-Unis - par rapport à la directive européenne de 1995 sur la protection des données personnelles - devait être reconnu (voir le considérant 5 de la décision).

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Mardi, la Cour de justice de l’UE (CJUE) a fait voler en éclats le Safe Harbor. Suivant les conclusions de l’avocat général Yves Bot, les juges de Luxembourg ont invalidé la décision de la Commission européenne et rendu le pouvoir aux autorités nationales de contrôle, telle que la Commission de l’informatique et des libertés (CNIL) d’interdire le transfert de données personnelles de l’UE vers les États-Unis. Cet arrêt, très sévère à l’égard de l’exécutif européen, créé un vide juridique pour les entreprises américaines qui souhaitent poursuivre le transfert de données.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Pourquoi la décision de la Commission a-t-elle été remise en cause ? Principalement parce que le Safe Harbor connaît de nombreuses zones d’ombres. Premier élément, les autorités publiques américaines ne sont pas soumises au respect des principes édictés par le Safe Harbor. Autre constat négatif, ils peuvent être écartés si des exigences relatives « à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis » doivent être prises en considération. Dans pareil cas, ces exigences priment sur le respect des principes du Safe Habor, principes que doivent donc écarter les entreprises américaines, et cela « sans limitation », s’inquiète la CJUE. Dès lors, les entités étatiques américaines seraient autorisées à pratiquer des ingérences dans les droits fondamentaux des personnes dont les données personnelles sont ou pourraient être transférées depuis l’UE vers les États-Unis. Enfin, cette ingérence est particulièrement large, souligne la Cour, puisqu’elle « permet aux autorités publiques d’accéder de manière généralisée au contenu des communications électroniques », analyse-t-elle. Une ingérence sans limite, qui peut être généralisée, permettant un accès massif et indifférencié à des données personnelles, c’est ce qui pêche pour la Cour.

La décision est également remise en cause pour une question de méthode. La CJUE rappelle à la Commission qu’elle a, elle-même, constaté dans deux de ces communications (COM (2013) 846 et 847 finals) , que des difficultés pouvaient survenir : « Les autorités américaines peuv[ent] accéder aux données et traiter celles-ci d’une manière incompatible, notamment avec les finalités de leur transfert, et au-delà de ce qui e[st] strictement nécessaire et proportionné à la protection de la sécurité nationale ». Et il n’existe pas de voix de recours - administrative ou judiciaire - pour les personnes concernées. De plus, « au regard du fait que le niveau de protection assuré par un pays tiers est susceptible d’évoluer, il incombe à la Commission (…) de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée (…). Une telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard », estime la CJUE. Reprenant les conclusions de l’avocat général, elle insiste : « il doit être également tenu compte des circonstances intervenues postérieurement à l’adoption de cette décision ».

En creux, c’est l’affaire Snowden qui se dessine et qui motive la CJUE à porter un tel jugement. Cette affaire a été le moteur de la plainte de Maximillian Schrems contre Facebook : suite aux révélations d’Edward Snowden, il s’est inquiété de la possibilité que ses données personnelles, transférées aux États-Unis par la filiale irlandaise du réseau social, ne puissent être appréhendées par les autorités américaines. Notamment par la NSA (National security agency), dans le cadre de programmes de surveillance révélés par Snowden (programme PRISM ou XKeyscore). Sa plainte a ensuite été portée par la Haute Cour de Justice irlandaise devant les juges de Luxembourg, notamment parce qu’elle partageait les doutes de Maximillian Schrems sur la validité de la décision de la Commission européenne rendue en 2000. La justice irlandaise est désormais libérée de celle-ci et est en droit d’interdire le transfert par Facebook de données personnelles aux États-Unis. De même que la CNIL…

Suite à l’arrêt de la CJUE, le transfert n’est donc plus légalement sécurisé pour les entreprises. Selon Claude Moraes (S&D, Royaume-Uni), président de la commission des libertés civiles au Parlement européen, le Safe Harbor doit « être immédiatement suspendu », a-t-il demandé dans un communiqué. Et la Commission européenne doit « immédiatement » proposer un nouveau dispositif pour assurer un transfert des données personnelles vers les États-Unis en ligne avec les exigences du droit européen. Il rappelle que les négociations entre la Commission et les États-Unis sur l’évolution du Safe Harbor sont en cours depuis plus d’un an, et que les parlementaires européens n’ont obtenu aucun retour sur ces discussions.

De son coté, la Commission européenne dédramatise. Justement, pour son vice-président, Frans Timmermans, l’arrêt de la CJUE « confirme l’approche de la Commission européenne sur la renégociation du Safe Harbor », précise un communiqué. Le transfert de données vers les États-Unis peut donc se poursuivre, si les entreprises utilisent d’autres mécanismes pour en assurer la validité. L’introduction de clauses standards sur la protection des données personnelles dans leurs contrats avec d’autres entreprises où le respect de règles obligatoires portant sur le transfert sécurisé de données intra-groupe sont des solutions proposées par Vera Jourova, commissaire européen en charge de la justice, des consommateurs et de l’égalité des genres. De même que de faire jouer les dérogations qui autorisent le transfert (respect d’un engagement contractuel, intérêt vital du transfert, etc.), ou de recueillir le consentement individuel de chaque personne sur celui-ci.

En tout état de cause, le transfert de données basé sur le Safe Harbor est illégale à moins d’obtenir une décision en la matière d’une autorité de contrôle nationale ou que le transfert tombe sous le coup de l’une des exceptions admises, conseille le cabinet d’avocats Hogan Lovells. Une revue de l’ensemble des clauses contractuelles en cours, afin de vérifier que la référence au Safe Harbor est écartée, est l’une des mesures que le cabinet propose aux entreprises. A mettre en œuvre rapidement...