Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Facebook et vie privée : la justice va-t-elle annuler le Safe Harbour ?

Publié le par

Le petit poucet Maximilien Schrems n’a pas fini de faire parler de lui dans sa lutte contre le géant Facebook. Il reçoit le soutien de l’Avocat Général Bot. Pour lui, la décision de la Commission instituant les Safe Harbour serait invalide car prise en violation de la Charte des droits fondamentaux de l’Union européenne.

Rappel des faits et de la procédure ayant mené à la question préjudicielle

Maximilien Schrems est un jeune juriste autrichien. Abonné à Facebook depuis 2008.  Les données des abonnés irlandais – comme de tous les abonnés européens – sont en tout ou en partie transférées sur des serveurs de Facebook USA, situés sur le territoire des Etats-Unis. Il a déposé le 25 juin 2013 une plainte devant l’autorité de protection des données irlandaise, invoquant l’absence de protection réelle des données conservées sur son territoire à l’encontre de la surveillance de l’Etat (l’affaire « Snowden » et ses révélations sur les activités de la NSA en étant la preuve la plus éclatante).

La commission irlandaise  a estimé la plainte sans fondement juridique allant jusqu’à la qualifier de « futile et vexatoire ». Non seulement elle a considéré qu’il n’y avait aucune preuve de l’accès de la NSA aux données Facebook, mais que l’existence de la décision de la Commission 2000/520 dite « Safe Harbor », reconnaissant par l’adhésion au système un niveau de sécurité adéquat, imposait le rejet de celle-ci, l’empêchant d’aller plus avant dans le contrôle de la protection des données des Etats-Unis.

Pour rappel, les « Safe Harbor principles » sont des principes de protection des données auxquelles adhèrent volontairement les entreprises US pour éviter l’interdiction de principe des flux de données vers leur territoire, dès lors que la législation US n’offre pas, selon les standards européens, un niveau de protection des données adéquat au sens de l’article 25 §1er de la directive 95/46/CE du 24 octobre 1995 (qui constitue encore aujourd’hui, dans l’attente du futur règlement européen, le socle de la protection des données en Europe).

Maximilien Screms a alors introduit un recours devant la Haute Cour de justice irlandaise. Cette dernière a d’abord considéré que la surveillance électronique et l’interception des données répondent a priori à des finalités nécessaires et indispensables à l’intérêt public et que la surveillance US sert des objectifs légitimes liés à la lutte contre le terrorisme. Elle prend cependant en considération les révélations Snowden et constate les excès de la NSA et d’autres organes similaires (procédure secrète et non contradictoire, impossibilité pour les citoyens de l’Union d’être entendus etc.). L’ingérence qui en résulte dans la vie privée des utilisateurs Facebook ne serait donc pas proportionnée, d’autant que l’accès aux données est en l’espèce massif et indifférencié, ce qui viole la Constitution irlandaise.

Néanmoins, la Cour relève que le commissaire à la protection des données avait considéré ne pas pouvoir s’écarter de la décision « Safe Harbor » qui s’impose à lui a priori. La Cour se pose alors la question de la marge de manoeuvre potentielle de la commission de contrôle  irlandaise face à cette décision.

La High Court a alors décidé de saisir la Cour de Justice de la question de la contrariété éventuelle de cette situation auquelle était confrontée l’autorité de protection des données irlandaise, au regard de la Charte des droits fondamentaux qui protège notamment le droit à la protection des données à caractère personnel reconnu en son article 8, qui prévoit expressément en son §3 que les respect des règles en la matière est soumis à une autorité indépendante.

La question préjudicielle

L’avis de l’Avocat Général publié ce 23 septembre 2015 démontre s’il en est besoin, le formidable outil de contrôle constitué par la Charte des droits fondamentaux de l’Union à l’égard, à tout le moins, des autorités de l’Union.

Selon l’ Avocat général, la question revient en substance, à savoir si l’article 28 de la directive 95/46, qui prévoit les compétences des autorités de contrôle nationales, lu à la lumière des articles 7 et 8 de la Charte, doit être interprété en ce sens que l’existence d’une décision adoptée par la Commission sur le fondement de l’article 25, paragraphe 6, de cette directive, a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat aux données à caractère personnel transférées et, le cas échéant, de suspendre le transfert de ces données.

Les autorités de contrôle doivent pouvoir investiguer sur le caractère adéquat de la protection US indépendamment de la décision « Safe Harbor »

L’Avocat général commence d’abord  par rappeler avec force le rôle crucial des autorités de contrôle de protection des données et l’importance de leur totale indépendance dans leurs tâches de contrôle, fut-ce en présence d’une décision de la Commission reconnaissant, dans le cadre du régime « Safe Harbor », un niveau de protection adéquat aux Etats-Unis. Cette indépendance serait inévitablement  limitée si ces autorités étaient liées de manière absolue par les décisions adoptées par la Commission.

La règle énoncée à l’article 25, paragraphe 1, de la directive 95/46, selon laquelle le transfert de données à caractère personnel ne peut avoir lieu que si le pays tiers destinataire leur assure un niveau de protection adéquat, fait partie des règles dont les autorités nationales de contrôle doivent surveiller l’application. Selon lui, si au terme des investigations qui sont conduites par une autorité nationale de contrôle, celle-ci estime que le transfert de données contesté porte atteinte à la protection dont doivent bénéficier les citoyens de l’Union quant au traitement de leurs données, elle a le pouvoir de suspendre le transfert de données en cause, et ce quelle que soit l’évaluation générale faite par la Commission dans sa décision.

L’effet obligatoire de la décision 2000/520 ne serait d’ailleurs pas de nature à exclure toute enquête du commissaire sur des plaintes alléguant que des transferts de données à caractère personnel effectués vers les États-Unis dans le cadre de cette décision ne présentent pas les garanties nécessaires de protection requises par le droit de l’Union. Priver l’autorité nationale de contrôle de ses pouvoirs d’investigation dans des circonstances telles que celles en cause dans la présente affaire, serait contraire non seulement au principe d’indépendance, mais également à l’objectif de la directive 95/46 qui est de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel au sein de l’Union.

L’Avocat général s’en réfère alors à la jurisprudence selon laquelle il incombe aux États membres non seulement d’interpréter leur droit national d’une manière conforme au droit de l’Union, mais également de veiller à ne pas se fonder sur une interprétation d’un texte du droit dérivé qui entrerait en conflit avec les droits fondamentaux protégés par l’ordre juridique de l’Union ou avec les autres principes généraux du droit de l’Union.

Analysant le texte même des Safe Harbor, l’Avocat Général relève les difficultés d’interprétation de son article 3, paragraphe 1, sous b) qui prévoit les cas dans lesquels la suspension de flux de données peut être décidée par les autorités nationales de contrôle. Selon lui, l’impératif d’interprétation conforme aux droits fondamentaux milite en faveur d’une interprétation large de cette disposition. Les conditions d’intervention des autorités qu’elle énonce ne pourraient empêcher une autorité nationale de contrôle d’exercer, en toute indépendance, les pouvoirs dont elle est investie en vertu de l’article 28, paragraphe 3, de la directive 95/46. Pour lui, les autorités nationales de contrôle doivent pouvoir mener leurs investigations et, le cas échéant, suspendre un transfert de données, indépendamment des conditions restrictives fixées par la décision « Safe Harbor ».

Il résulte de l’ensemble de ces éléments que l’article 28 de la directive 95/46, lu à la lumière des articles 7 (respect de la vie privée)  et 8 (droit à la protection des données) de la Charte, doit être interprété en ce sens que l’existence d’une décision adoptée par la Commission sur le fondement de l’article 25, paragraphe 6, de cette directive n’a pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat aux données à caractère personnel transférées et, le cas échéant, de suspendre le transfert de ces données.

La décision « Safe Harbor » elle-même serait invalide

Selon l’Avocat Général, l’appréciation du point de savoir si les États-Unis, dans le cadre du régime de la sphère de sécurité, garantissent un niveau de protection adéquat aux données à caractère personnel transférées conduit donc nécessairement à se pencher sur la validité de la décision « Safe Harbor ».

Il rappelle que l’article 25 de la directive 95/46 repose tout entier sur le principe selon lequel le transfert de données à caractère personnel vers un pays tiers ne peut avoir lieu à moins que ce pays tiers ne garantisse un niveau de protection adéquat à de telles données. Ce niveau de protection est forcément évolutif et doit s’apprécier en fonction du contexte factuel et juridique actuel.

Du reste, l’examen du niveau de protection offert par un pays tiers doit s’intéresser à deux éléments fondamentaux, à savoir le contenu des règles applicables et les moyens d’assurer le respect de ces règles.

Quel est le contexte factuel actuel ?

D’une part, les données à caractère personnel transférées par des entreprises telles que Facebook Ireland à leur société mère établie aux États-Unis sont, ensuite, susceptibles d’être consultées par la NSA ainsi que par d’autres agences de sécurité américaines au cours d’activités de surveillance et d’interception massives et non ciblées. En effet, à la suite des révélations de M. Snowden, aucune autre conclusion plausible ne saurait, à l’heure actuelle, être tirée des éléments de preuve disponibles.

D’autre part, les citoyens de l’Union ne disposeraient d’aucun droit effectif d’être entendus sur la question de la surveillance et de l’interception de leurs données par la NSA et par d’autres agences de sécurité américaines. L’Avocat Général en conclut que le droit et la pratique des États-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées dans le cadre du régime de la sphère de sécurité, sans que ces derniers bénéficient d’une protection juridictionnelle effective.

Ces constats factuels démontrent, à son avis, que la décision « Safe Harbor » ne contient pas suffisamment de garanties. En raison de ce défaut de garanties, cette décision a été mise en œuvre d’une manière qui ne répond pas aux exigences requises par la Charte ainsi que par la directive 95/46. Les dérogations prévues par la décision à l’application des principes de protection, notamment pour des exigences de sécurité nationale, auraient dû être accompagnées par la mise en place d’un mécanisme de contrôle indépendant propre à éviter les atteintes constatées au droit à la vie privée, ce qui n’est pas le cas à l’heure actuelle.

L’accès dont disposent les services de renseignement américains aux données transférées est constitutif d’une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti par l’article 8 de la Charte. Cette ingérence est d’une vaste ampleur et doit être considérée comme particulièrement grave, eu égard au nombre important d’utilisateurs concernés et des quantités de données transférées. Ces éléments, associés au caractère secret de l’accès par les autorités américaines aux données à caractère personnel transférées vers les entreprises établies aux États-Unis, rendent, selon l’Avocat Général, l’ingérence extrêmement sérieuse. À cela s’ajoute la circonstance que les citoyens de l’Union, utilisateurs de Facebook, ne sont pas informés du fait que leurs données à caractère personnel seront d’une manière générale accessibles pour les agences de sécurité américaines.

L’Avocat général rappelle les règles de contrôle instituées par la Charte : conformément à son article 52, § 1, toute limitation de l’exercice des droits et des libertés consacrés par celle-ci doit être prévue par la loi et doit respecter le contenu essentiel de ces droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées auxdits droits et libertés que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui.

Or, en l’espèce, l’Avocat Général doute que ces limitations issues de la décision « Safe Harbor » respecte le contenu essentiel des articles 7 et 8 de la Charte dès lors que l’accès des autorités US s’étend au contenu lui-même des communications électroniques. Du reste, les objectifs d’intérêt général permettant au législateur américain de limiter l’application des principes contenus dans la décision seraient définis de manière trop imprécise. Et permettent des dérogations qui ne seraient pas nécessaires au regard de ces objectifs.

L’ingérence issue de ces possibles limitations serait du reste contraire au principe de proportionnalité. En effet, les dérogations à la protection devraient être, comme en droit de l’Union, limitées au strict nécessaire pour atteindre l’objectif poursuivi. Or, l’Avocat Général relève que l’accès aux données à caractère personnel transférées dont disposent les services de renseignement américains couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données transférées, y compris le contenu des communications, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif d’intérêt général poursuivi. Une telle surveillance massive et non ciblée est disproportionnée par nature et constitue une ingérence injustifiée dans les droits garantis par les articles 7 et 8 de la Charte.

Ce constat est renforcé par le fait que la décision « Safe Harbor » ne contient pas de garanties propres à éviter cet accès massif et généralisé aux données transférées. Ainsi par exemple, ni les mécanismes d’arbitrage privé ni la possibilité d’intervention de la FTC, prévus par la décision, ne constituent des moyens de contester l’accès des services de renseignement américains aux données à caractère personnel transférées depuis l’Union. Aucune autorité indépendant ne peut donc, au sein du système de protection « Safe Harbor » , contrôler les limitations apportées à son application.

Cette décision doit, par conséquent, selon l’Avocat général, être déclarée invalide dans la mesure où, en raison des violations des droits fondamentaux précédemment décrites, il ne saurait être considéré que le régime de la sphère de sécurité qu’elle instaure assure un niveau de protection adéquat aux données à caractère personnel qui sont transférées depuis l’Union vers les États-Unis dans le cadre de ce régime.

Face à un tel constat de violations des droits fondamentaux des citoyens de l’Union, il estime que la Commission aurait dû suspendre l’application de la décision 2000/520. Un tel défaut d’agir de la part de la Commission, qui porte directement atteinte aux droits fondamentaux protégés par les articles 7, 8 et 47 de la Charte, constitue, à son avis, un motif supplémentaire de déclarer invalide la décision 2000/520. Ce qu’il propose de faire à la Cour en conclusion.

Commentaires

Pour la 3e fois en une grosse année, la Cour de justice remet en cause des choses tenues pour acquises depuis très longtemps en matière de protection des données à caractère personnel. Cela ne peut pas être un hasard.

Ce fut d’abord la décision invalidant la directive relative aux données de connexion. Pour rappel, cette directive est le socle juridique qui organise la conservation des données de connexion afin de permettre aux autorités policières et à la justice, de lutter contre les crimes et infractions. Il ne s’agit pas de conserver les mails échangés, ou d’enregistrer la conversation téléphonique (sauf bien sûr dans l’hypothèse d’un enregistrement autorisé par un juge d’instruction), mais de conserver la trace qu’un appel a été passé de tel numéro vers tel autre, ou qu’un mail a été envoyé de tel ordinateur à tel autre.

Ce fut ensuite la décision Google sur le droit à l’oubli qui a non seulement considérablement élargi le champ d’application territorial de la directive, mais a aussi créé de façon prétorienne une prérogative erronément appelée « droit à l’oubli ».

Si la Cour suit l’avocat général – ce qu’elle fait le plus souvent – ce sera la remise en cause d’un système jugé fondamental pour le commerce transatlantique. Il faut en effet se rappeler que le Safe Harbor est une solution pratique destinée à contourner l’interdiction de principe des flux de données à caractère personnel vers des pays qui n’offrent pas un niveau de protection adéquat. Dans la mesure où les États-Unis ne disposent pas de ce niveau de protection adéquat, si l’on suit strictement la directive, aucune donnée ne peut y être envoyée. Des méthodes de contournement existent, mais elles sont parfois lourdes. Le Safe Harbor a été conçu afin de créer un cadre sur mesure pour ces échanges transatlantiques. Aussi fondamental que soit le commerce transatlantique, l’avocat général propose rien de moins que l’invalidation pure et simple du système. C’est une fameuse bombe au beau milieu des négociations pour le traité de libre-échange.

Le message qui semble se dégager de ces 3 affaires est multiple. Il y a tout d’abord un message très fort rappelant la puissance de la Charte. Il s’agit d’un nouvel instrument juridique, encore méconnu, et la cour semble inviter toutes les parties prenantes à relire ce texte. Il y a ensuite un second message, tout aussi fort, destiné à attirer l’attention sur les limites de la monétisation des données à caractère personnel. Il y a enfin un message adressé aux Etats qui ont parfois un peu tendance à sacrifier les droits fondamentaux sur l’autel de l’efficacité de la lutte contre les risques – réels – du terrorisme et de la criminalité.

Plus d’infos ?

Sur la Charte : pour un rappel de son statut et de ses conditions d’application, voy. par exemple Th. Léonard, “L’article 16 de la Charte des droits fondamentaux de l’Union : une nouvelle verdeur pour la liberté d’entreprendre?

Sur le Safe Harbor : voir notre guide sur le commerce avec les États-Unis.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK