Les avancées de la technologie sont telles aujourd’hui que les questions concernant le « Big Data » ne portent pas seulement sur la nature des données collectées, mais concernent aussi le lieu où elles sont conservées et, notamment, le niveau de protection de ces données à l´étranger. En ce sens, le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles. L´existence d´un niveau de protection suffisant est constaté par la Commission européenne dans une décision d´adéquation.

Dans une affaire récente « Schrems » (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner), la question s´est posée notamment à propos de la validité de la décision de la Commission du 26 juillet 2000, dite « Safe Harbor », constatant un niveau adéquat de protection des données personnelles transférées vers les États-Unis. En l´espèce, l´utilisateur du réseau social Facebook, Maximillian Schrems, avait déposé une plainte entre les mains du commissaire de la protection des données en Irlande dans laquelle il arguait que les données qu´il fournissait à Facebook et qui étaient transférées vers les États-Unis étaient insuffisamment protégées contre la surveillance étatique américaine (et ce, dans le contexte des révélations de Edward Snowden relatives aux activités des services de renseignement américains). Le commissaire irlandais avait refusé d´instruire la plainte, s´appuyant ainsi sur la décision de la Commission du 26 juillet 2000, dite le « Safe Harbor » laquelle, selon lui, garantissait un niveau de protection adéquat des données aux États-Unis. Saisie dans le cadre d´une question préjudicielle posée par la Cour irlandaise, la Cour de justice de l´Union européenne a invalidé le « Safe Harbor » au regard de la Charte des droits fondamentaux de l´Union européenne adoptée le 7 décembre 2000, plus précisément au regard des droits à la vie privée et à la protection des données personnelles (art. 7 et 8 de la Charte) et du droit à une protection juridictionnelle effective (art. 47 de la Charte).

La consolidation d´un modèle européen de la protection des données à caractère personnel

Par la décision « Schrems » (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner), la Cour de justice de l´Union européenne a invalidé la décision de la Commission du 26 juillet 2000, dite « Safe Harbor », en considérant que les autorités publiques américaines pouvaient accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. En outre, la Cour de justice de l’Union a relevé que la règlementation américaine ne prévoit aucune possibilité pour le justiciable d´exercer des voies de droit afin d´avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données. Par conséquent, une autorité de contrôle d’un État membre, en l’espèce le « Data Protection Commissioner » irlandais, doit pouvoir examiner la demande d’une personne relative à la protection de ses données personnelles transférées vers un pays tiers lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans ce pays tiers n’assurent pas un niveau de protection adéquat.

Cet arrêt illustre l’importance qu’a prise la problématique de la protection des données dans la politique jurisprudentielle de la Cour de justice. Ainsi, au cours d´une année, la Cour a prononcé trois arrêts fondamentaux en la matière. C´est dans ce contexte que l´invalidation du « Safe Harbor » doit donc être analysée, puisque désormais la Cour apparaît comme un acteur institutionnel majeur dans la consolidation et l´affirmation d’un modèle européen de la protection des données.
La mise à jour de la stratégie « Informatique et Libertés » au sein de l´entreprise
L´arrêt de la Cour de justice invite indirectement les entreprises à reconsidérer leur stratégie en matière de protection des données. Désormais, les entreprises qui avaient recours au « Safe Harbor » devront cartographier avec précision leurs flux de données pour pouvoir apprécier et prévenir les risques et le cas échéant mettre en place les mesures organisationnelles nécessaires.

La démarche à suivre consistera à se demander sur la nature des données transférées, l´endroit de leur stockage ou encore les mesures de protection mise en place. D´ailleurs, à chaque étape, des mesures de sécurisation des données devront être prises : la minimisation des données collectées et transférées ; le chiffrement des données ; la mise en place d´une politique de notification des failles de sécurité ; la gestion des demandes d´accès des autorités publiques aux données, etc.

La nécessité de s´engager dans une démarche d´accountability n´est que accentuée par le projet de futur règlement européen sur la protection des données à caractère personnel qui obligera les entreprises à démontrer qu´elles sont en conformité avec le nouveau règlement par une série de mesures organisationnelles qui devront être prises.

Un nouvel instrument de protection en cours d´adoption

A la lumière des griefs formulés à l´encontre de la décision du 26 juillet 2000, dite « Safe Harbor », la Commission européenne a conclu le 2 février 2016 un nouvel accord « EU-US Privacy Shield » en obtenant ainsi des États-Unis les engagements suivants :
– d´abandonner la surveillance massive et indifférenciée des données ;
– de définir les conditions et les limites de la surveillance par les autorités américaines ;
– de mieux assurer les droits des européens en leur reconnaissant des voies de recours et en créant une procédure alternative de résolution des litiges ;
– d´améliorer la transparence sur l´utilisation des données en fournissant notamment une information plus claire sur les droits dont bénéficient les individus.
En outre, les citoyens de l´Union auront la possibilité d’adresser des demandes d’information à un médiateur spécialement désigné à cette fin et de lui soumettre des plaintes.

Ce nouveau cadre vise à protéger les droits fondamentaux des citoyens de l’Union lorsque leurs données sont transférées vers les États-Unis et à apporter une sécurité juridique aux entreprises. Néanmoins, certaines exigences de la Cour de justice ont été ignorées, comme le respect d´un droit au recours juridictionnel ou la mise en place d´un contrôle accompagnant l´engagement des États-Unis d´arrêter la surveillance massive.

Par la suite, cet accord devra être analysé par le « G29 », qui regroupe toutes les CNIL européennes, afin d’en connaître précisément le contenu et le caractère contraignant ainsi que déterminer si les flux transatlantiques sont à présent suffisamment encadrés. Le « G29 » se prononcera sur la question de savoir si les garanties nouvelles de cet accord répondent aux préoccupations identifiées dans la décision de la Cour de justice. A cet effet, la Commission européenne a publié le 29 février 2016 le texte de l’accord « EU-US Privacy Shield ». Afin d’avoir une compréhension claire et complète de la situation aux Etats-Unis et de l’impact sur les transferts entre l’Europe et les Etats-Unis, le G29 réalise des auditions des personnes d’horizons divers originaires d’Europe ou des Etats-Unis : universitaires, entreprises, représentants de gouvernements, société civile. Le G29 mène son évaluation à la lumière de la jurisprudence européenne sur les droits fondamentaux fixant quatre garanties essentielles à respecter dans le cadre des activités de renseignement :

– le traitement doit reposer sur des règles claires précises et compréhensibles : toute personne doit être informée du transfert de ses données ;
– la proportionnalité au regard de la finalité poursuivie doit être démontrée : un équilibre doit être trouvé entre les impératifs de sécurité publique et les droits des individus ;
– l´existence d´un mécanisme de contrôle indépendant ;
– l´existence d´un recours effectif ouvert aux citoyens.

Après l´avis du « G29 », l´arrangement sera examiné par les États membres dans le cadre de la procédure de « comitologie », en conformité avec l’article 31 de la directive 95/46 / CE.

Pendant la période d´adoption de l´accord « EU-US Privacy Shield », les autres outils de transfert tels que BCR (règles internes d´entreprise) ou les clauses contractuelles type pourront être utilisés par les entreprises. En revanche, les transferts ne peuvent plus s´effectuer sur la base de l’ancien accord « Safe Harbor » invalidé par la Cour de justice.