La fin du Safe HARBOR

jeudi 8 octobre 2015

CJUE a invalidé le 6 octobre 2015 ( affaire Schrems c/ Data Protection sur le transfert des données FACEBOOK) la décision par laquelle la Commission européenne avait constaté que les États-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées.
En cause : la suprématie des lois américaines sur cet accord intercontinental.
affaire C-362/14

source CNIL :
Par une décision du 6 octobre 2015, la CJUE a invalidé la décision par laquelle la Commission européenne avait constaté que les États-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées.

Sur le fond, la CJUE a relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux législations américaines d’ordre public et doivent, par suite, écarter « sans limitation » l’application des clauses du « safe harbor » qui leur seraient contraires.

En conséquence de quoi, la CJUE rend la décision suivante :

Par ces motifs, la Cour (grande chambre) dit pour droit :

1) L’article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, telle que modifiée par le règlement (CE) n° 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003, lu à la lumière des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46 relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, telle que modifiée, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat.

2) La décision 2000/520 est invalide.

Cet arrêt est majeur pour la protection des données.

Qu’est - ce que le Safe Harbor ?
Il s’agit d’un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne.

Ces principes, négociés entre les autorités américaines et la Commission européenne en 2001, sont essentiellement basés sur ceux de la Directive 95/46 du 24 octobre 1995 :

  • • information des personnes,
  • • possibilité accordée à la personne concernée de s’opposer à un transfert ou à une utilisation des données pour des finalités différentes,
  • • consentement explicite pour les données sensibles,
  • • droit d’accès et de rectification,
  • • sécurité des données,

Le Safe Harbor permettait donc d’assurer, selon la Commission Européenne, un niveau de protection suffisant pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis.

Cette décision remet en cause tous les transferts de données entre l’Europe et les USA.