La Cour de justice sonne le tocsin pour les libertés publiques. Les 5 leçons de l’arrêt Schrems

1° Le système américain de protection de données n'offre pas « un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union ». Le régime américain de la sphère de sécurité rend « possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ». Les autorités des États-Unis peuvent ainsi accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci « d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale ».

« Dès lors qu’elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes dont les données sont transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif poursuivi et sans que des critères objectifs ne soient prévus en vue de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure » une réglementation n'est « pas limitée au strict nécessaire ». Elle devient donc illégale. Une réglementation qui permet « aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé ».

2° La Commission européenne a failli à ses devoirs. La Cour ne contente pas d'annuler la décision de la Commission. Les arguments utilisés sont particulièrement sévères pour l'exécutif européen. D'une part, la Commission était tenue de constater que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte. Elle ne l'a pas fait. La Commission « n’a pas opéré un tel constat, mais qu’elle s’est bornée à examiner le régime de la sphère de sécurité ». Cependant, elle savait bien qu'il y avait des problèmes avec la protection des données au niveau américain. La plupart des arguments de la Cour sur le déficit de protection aux Etats-Unies sont en effet, tirées de communications de la Commission européenne. Enfin, elle a interdit aux autorités nationales de contrôle de se prononcer en cas de plainte d'un citoyen.

3° C'est la troisième leçon de cet arrêt. La Cour considère que la Commission n’avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle. Aucune disposition de la directive n’empêche les autorités nationales de contrôler les transferts de données personnelles vers des pays tiers ayant fait l’objet d’une décision de la Commission. Ainsi, même en présence d’une décision positive de la Commission, les autorités nationales de contrôle, saisies d’une demande, doivent pouvoir « examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive ». En d'autres termes, une décision de la Commission « constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la Charte des droits fondamentaux de l’Union européenne et de la directive ».

4° La valeur suprême des droits fondamentaux. Au passage, les juges de la Cour rappellent un principe :« le droit à la protection des données à caractère personnel comme la mission dont sont investies les autorités nationales de contrôle » sont garanties par la Charte des droits fondamentaux.

5° Dernier point, qui est un rappel des prérogatives de la justice européenne. La Cour de justice rappelle qu’elle est « seule compétente pour constater l’invalidité d’un acte de l’Union », tel qu’une décision de la Commission. Par conséquent, lorsqu’une autorité nationale ou bien la personne ayant saisi l’autorité nationale estime qu’une décision de la Commission est invalide, cette autorité ou cette personne « doit pouvoir saisir les juridictions nationales pour que, dans le cas où elles douteraient elles aussi de la validité de la décision de la Commission, elles puissent renvoyer l’affaire devant la Cour de justice ». Et ce sera aux juges européens que reviendra alors « la tâche de décider si une décision de la Commission est valide ou non ».

En l'occurrence, la réponse ne suscite aucune ambiguïté. La Cour déclare « la décision de la Commission du 26 juillet 2000 invalide ». L’autorité irlandaise de contrôle qui avait été saisie d'une plainte (par M. Schrems) doit « avec toute la diligence requise » décider « s’il convient, en vertu de la directive, de suspendre le transfert des données des abonnés européens de Facebook » vers les États-Unis au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles.

(Nicolas Gros-Verheyde)

(1) Arrêt C-362/14, Maximillian Schrems / Data Protection Commissioner, du 6 octobre 2015. A télécharger ici