Suite au jugement Schrems du 6 octobre 2015, invalidant la décision sur la sphère de sécurité, la même partie demande maintenant à la Court de Justice de l’Union Européeenne (CJUE) de se prononcer sur la validité de la décision 2010/87 instituant les clauses contractuelles types (CC) et, indirectement, sur la validité de la décision sur le bouclier de protection de la vie privée.
L’avocat général a pris position à cet égard et s’est penché sur la question :
– la décision 2010/87 instituant les CCTs comme étant toujours valide ; et
– bien qu’il ne considère pas que la Cour devrait se prononcer sur la validité de la décision relative au « Privacy Shield », il a fait part de son point de vue et a émis quelques doutes quant à sa validité.
Informations préalables
Suite aux révélations d’Edward Snowden, M. Maximillian Schrems, un utilisateur Facebook autrichien, avait contesté la décision « Safe Harbor » autorisant le transfert de ses données personnelles par Facebook vers les États-Unis d’Amérique (USA).
Par un arrêt du 6 octobre 2015, la CJUE a considéré que la Safe Harbor, (ancien Privacy Shield), n’était pas un mécanisme de transfert valable car il n’offrait pas une protection suffisante contre la surveillance massive exercée par les autorités publiques américaines (notamment la National Security Agency), des données transférées dans ce pays, telle que révélée par Edward Snowden.
À la suite de cet arrêt, les autorités européennes ont négocié avec les autorités américaines et la Commission a rendu une nouvelle décision, le « Privacy Shield », qui est une version améliorée du Safe Harbor.
Cependant, Facebook a informé M. Schrems que le transfert de ses données était basé sur les CCT et pour cette raison, M. Schrrems, a remis en question la validité de la décision 2010/87 instituant les CCT du fait que, selon lui, il n’existe aucun recours qui permettrait aux personnes concernées d’invoquer, aux États-Unis, leurs droits au respect de la vie privée et à la protection des données à caractère personnel. Dans ces conditions, M. Schrems a également demandé à l’autorité de contrôle de suspendre le transfert de ses données par Facebook en application de la décision 2010/87.
En conséquence, l’autorité de contrôle irlandaise a cherché à évaluer si les États-Unis offraient un niveau de protection adéquat et, dans la négative, si la décision 2010/87/UE offrait des garanties suffisantes. A cet égard, l’autorité irlandaise a introduit une procédure devant la High Court afin que celle-ci puisse poser des questions préjudicielles à la CJUE.
Une telle demande remettant également en cause la validité de l’évaluation effectuée par la Commission lors de l’adoption de la décision « Privacy Shield », l’avocat général a également présenté ses conclusions à ce sujet.
1. L’avocat général considère que la décision 2010/87 instituant les CTTs est valide
Dans son rapport, l’avocat général souligne, à titre préliminaire, pour considérer les CCTs valides, les points suivants :
- le droit communautaire est applicable aux transferts de données à caractère personnel vers un pays tiers lorsque ces transferts s’inscrivent dans le cadre d’une activité commerciale, même si les autorités publiques de ce pays tiers peuvent traiter les données à des fins de sécurité nationale ;
- les clauses contractuelles types adoptées par la Commission prévoient un mécanisme général applicable aux transferts indépendamment du pays tiers de destination et du niveau de protection qui y est garanti ;
- la compatibilité de la décision 2010/87 avec la Charte dépend de l’existence de mécanismes suffisamment solides pour garantir que les transferts fondés sur les clauses contractuelles types soient suspendus ou interdits en cas de violation ou d’impossibilité d’honorer ces clauses.
Selon lui, de tels mécanismes sont en place car il existe une obligation imposée aux responsables du traitement des données et, en cas d’inaction de ces derniers, aux autorités de contrôle – de suspendre ou d’interdire un transfert lorsque les obligations imposées par le droit du pays tiers sont contradictoires – est en conflit avec les obligations prévues dans les CSC.
La décision de suspendre un transfert doit être fondée sur une analyse effectuée au cas par cas et nous comprenons à la lecture de l’avis de l’avocat général, que le simple fait que les États-Unis puissent ne pas assurer un niveau de protection adéquat ne remet pas en cause la validité du mécanisme prévu dans la décision 2010/87 instituant les CCTs. En effet, le transfert devrait être simplement interdit ou suspendu si une telle mesure est nécessaire.
2. La Cour ne devrait pas se prononcer sur la validité de l’arrêt Privacy Shield
L’avocat général considère que la contestation de la validité de la décision instituant les CCTs remet indirectement en cause les appréciations faites par la Commission dans sa décision de 2016 relative à la validité du » Privacy Shield « . En effet, la Commission a estimé que les États-Unis assure un niveau de protection adéquat au titre du « Privacy Shield », compte tenu des garanties entourant l’accès aux données par l’autorité de renseignement américaine et de la protection judiciaire dont bénéficient les personnes dont les données sont transférées.
Toutefois, l’avocat général considère que la Cour ne devrait pas se prononcer sur la validité de la décision car ce n’est pas l’objet du recours soumis par les parties.
3. L’avocat général expose les raisons qui l’amènent à mettre en doute la validité de la décision « Privacy Shield »
Bien qu’il ne considère pas que la Cour doive se prononcer sur la validité de la décision relative au Privacy Shield puisque la question en jeu concerne les CCTs, l’avocat général expose les raisons qui l’amènent à mettre en doute la validité de de cette décision à la lumière du droit au respect de la vie privée et du droit à un recours effectif.
Selon lui, la décision relative à la protection de la vie privée peut être contestée sur les points suivants :
– Risque d’absence de proportionnalité des ingérences parce que les objectifs des mesures de surveillance ne sont pas définis de manière suffisamment claire et précise : les mesures de surveillance fondées sur l’article 702 de la FISA ou sur le règlement n°12333 (lois américaines) ne sont pas définies de manière suffisamment claire et précise pour prévenir le risque d’abus et permettre un contrôle de la proportionnalité de la mesure qui en découle.
– Absence de recours juridictionnels effectifs pour les personnes concernées pour les raisons suivantes :
- la décision relative au « Privacy Shield » n’établit pas que la surveillance fondée sur le règlement n° 12333 serait soumise à un contrôle préalable par un organisme indépendant ou pourrait faire l’objet d’un contrôle judiciaire a posteriori
- la décision relative au « Privacy Shield » ne précise pas que les mesures de surveillance fondées sur le décret-loi n° 12333 seraient notifiées aux personnes concernées ou accompagnées de mécanismes de contrôle judiciaire ou administratif indépendant à tout stade de leur adoption ou de leur mise en œuvre.
- le médiateur institué par la décision « Privacy Shield » ne prévoit pas de recours devant un organe indépendant offrant à la personne concernée la possibilité d’invoquer son droit d’accès aux données ou de contester toute violation des règles applicables par les services de renseignement.
En conclusion,
Si nous suivons le raisonnement de l’avocat général et que nous considérons que la décision Privacy Shield peut être remise en cause parce que les garanties prévues soit par le droit américain soit par la décision Privacy Shield ne sont pas suffisantes, il convient de décider que tout transfert de données vers les États-Unis fondé sur les CCTs soit suspendu au motif que les lois américaines sont en contradiction avec le contenu des Clauses, que ce mécanisme de transfert soit valide ou non.
Toutefois, avant de prendre une telle décision, il reste à voir ce que la Cour décidera de couvrir dans sa décision et quelle sera la position de la Cour irlandaise dans sa réponse à M. Schrems.
A suivre …
