L’invalidation de l’accord Safe Harbour par la Cour de JusticeJustice

La réussite du processus législatif européen en matière de protec-138

tion des données vient également du fait que la Cour de Justice de l’Union européenne a invalidé le 6 octobre 2015, la décision de la Commission européenne selon laquelle les États-Unis d’Amérique garantissent un niveau de protection adéquat des données à carac-tère personnel 90.

Comment expliquer l’invalidation de l’accord Safe Harbor? 139

L’a�aire Schrems trouve son origine dans la demande d’un étudiant 140

en droit autrichien, présentée auprès de l’autorité de contrôle irlan-daise. Maximillian Schrems s’interrogeait sur la licéité des trans-ferts de Facebook opérés entre l’Europe et les États-Unis, via son siège européen basé en Irlande. Maximillian Schrems demandait l’intervention de l’autorité de contrôle irlandaise pour interdire le transfert de données à Facebook vers les États-Unis, à la suite des prétendues activités des services de renseignements des États-Unis par la National Security Agency.

L’entreprise Facebook a donc été mise en cause par l’un de ses uti-141

lisateurs pour ne pas avoir respecté ses droits fondamentaux 91. L’autorité de contrôle irlandaise a donné raison à l’entreprise Fa-142

cebook. Elle a estimé que toute question relative au caractère adé-quat de la protection des données à caractère personnel devait être tranchée en conformité avec la décision 2000/520 sur le Safe Har-bour, et que dans cette décision, la Commission constatait que les États-Unis d’Amérique assuraient un niveau de protection adéquat de protection.

Max Schrems a interjeté appel de ce refus auprès de la High Court 143

irlandaise. Celle-ci a demandé à la CJUE de se prononcer sur les questions préjudicielles suivantes :

— Est-ce qu’une autorité de contrôle indépendante chargée

d’ap-90. Arrêt CJUE du 6 octobre 2015, Maximillian Schrems contre Data Protection Commissioner, C-362/14, ECLI :EU :C :2015 :650, consid. 52.

91. A������ Loic / V�� D�� S���� Marjin, Institutionalizing personal data pro-tection in times of institutional distrust : the Schrems Case, in : Common Market Law Review 2016 53/5, p. « http://spire.sciencespo.fr/hdl:/2441/ 3n384hqii69kur2jo7dp0v1ta7 » (27/10/2018).

§1. Le contexte historique et politique

pliquer la législation sur la protection des données, saisie d’une plainte relative au transfert de données à caractère per-sonnel vers un pays tiers, dont le plaignant soutient que le droit et les pratiques n’o�riraient pas des protections adé-quates à la personne concernée, est ou non liée par la déci-sion d’adéquation relative au Safe Harbor?

— Est-ce que, dans le cas contraire, cette autorité peut mener sa propre enquête en s’instruisant de la manière dont les faits ont évolué depuis la première publication de la décision de la Commission?

La question posée à la CJUE était de déterminer dans quelle mesure 144 les autorités de contrôle étaient liées par une décision d’adéquation

concernant un pays tiers, ou si, au contraire, ces autorités devaient ou pouvaient mener leurs propres enquêtes, pour évaluer si ce pays tiers, qui béné�cie d’une décision d’adéquation, assurait toujours un niveau de protection adéquat des données transférées.

La CJUE a jugé qu’une décision d’adéquation ne pouvait pas priver 145 les autorités de contrôle de leur pouvoir de contrôler les activités

de transfert de données, malgré l’existence d’une décision d’adé-quation s’appliquant dans l’UE. Le pouvoir d’enquête des autorités de contrôle n’est donc pas restreint par les décisions d’adéquation.

La CJUE a rappelé que seule la CJUE avait compétence pour invali- 146 der un acte de l’UE, tel qu’une décision d’adéquation. L’autorité de

contrôle nationale ne dispose pas de cette prérogative et doit uti-liser les voies de recours nationales pour e�ectuer un renvoi pré-judiciel devant la CJUE, qui seule peut examiner la validité de la décision d’adéquation et invalider éventuellement celle-ci.

La CJUE a aussi dé�ni ce qu’était un « niveau de protection adé- 147 quat ». Il s’agit d’un niveau de protection « substantiellement

équi-valent 92 » à celui de la directive et de la Charte dans l’UE, et « non pas identique ». Pour décider, la Commission véri�e si le pays tiers peut assurer e�ectivement un tel niveau de protection juridique du fait de son ordre juridique interne. Elle choisit donc le critère de la protection juridique.

Dans l’arrêt Schrems, la CJUE a constaté que les mesures de sécu- 148

92. Arrêt CJUE du 6 octobre 2015, Maximillian Schrems contre Data Protection Commissioner, C-362/14, ECLI :EU :C :2015 :627, consid. 73.

rité qui étaient en place dans l’accord Safe Harbor ne protégeaient pas su�samment les droits des personnes. En faisant référence aux révélations d’Edward Snowden, la Cour constatait qu’il n’existait aucune protection su�sante contre des accès disproportionnés des autorités aux informations, concernant les données transmises aux États-Unis dans le cadre de l’accord Safe Harbor. Elle ajoutait qu’il n’existait pas non plus de protection juridique e�cace contre de tels accès pour les personnes se trouvant hors des États-Unis 93. L’accord Safe Harbor a donc été abrogé et remplacé par l’accord 149

Privacy Shield (ou « accord de bouclier de protection de la vie pri-vée »), qui fut adopté formellement le 12 juillet 2016 par la Com-mission européenne.

L’accord Safe Harbor était un programme d’adhésion volontaire 150

mis en place par le Département du Commerce américain et la Commission européenne durant l’année 2000. Les entreprises amé-ricaines intéressées par l’adhésion à l’accord Safe Harbor devaient respecter un certain nombre de principes, basés sur le droit euro-péen de la protection des données. Des sanctions étaient prévues en cas de manquement pour « misrepresentation » par la Federal Trade Commission.

L’invalidation de l’accord Safe Harbor a impacté plus de 4000 en-151

treprises américaines, qui avaient adhéré à l’accord Safe Harbor 94. Après l’invalidation du Safe Harbor par la CJUE, le groupe de tra-152

vail de l’Article 29 de la Commission européenne s’est prononcé sur son contenu dans une publication du 13 avril 2016. Il a fait part de ses préoccupations importantes, concernant le volet commercial du Privacy Shield et l’accès, par les autorités publiques, aux données

93. Arrêt CJUE du 6 octobre 2015, Maximillian Schrems contre Data Protection Commissioner, C-362/14, ECLI :EU :C :2015 :627, consid. 89 ; C��������� ��� �������, Protection des données - Règles relatives à la protection des données à caractère personnel au sein et à l’extérieur de l’UE, in : Commission euro-pénne (https ://ec.europa.eu/), Bruxelles s.a., p. « https://ec.europa.eu/info/ law/law-topic/data-protection_fr » (27/10/2018).

94. B����� Cédric / C����� Sarah / D� B��� Laura, What’s Next for U.S.-EU Data Transfers ? An Analysis of Recent Developments Following Schrems, in : The WSGR Data Advisor (https ://www.wsgr dataadvisor.com/), s.l. 2015, p. « https://www.wsgrdataadvisor.com/2015/11/whats-next-for-u-s-eu-data-transfers-an-analysis-of-recent-developments-following-schrems/ » (26/10/2018).

§1. Le contexte historique et politique

transférées dans le cadre de l’accord Privacy Shield.

À la suite de cet arrêt, l’accord Safe Harbor a été jugé insu�sant 153 par le Préposé fédéral à la protection des données suisse et a été

o�ciellement abrogé par le Conseil fédéral 95. La Suisse a conclu un accord « Privacy Shield » en janvier 2017 avec les Etats-Unis 96. Pour que le nouveau cadre juridique « Privacy Shield » conclu en janvier 2017 entre la Suisse et les Etats-Unis, puisse se pérenniser et s’adapter à l’évolution des besoins, des évaluations annuelles ont été convenues avec les États-Unis et le Préposé fédéral à la protec-tion des données. Ces évaluaprotec-tions seront menées par le SECO, as-sisté du Préposé fédéral à la protection des données, donnant lieu à un rapport annuel indépendant 97.