Le 6 Octobre 2015, la CJUE qualifie d’invalide l’accord établi entre les Etats-Unis et l’Europe, le Safe Harbor autorisant sous certaines conditions les transferts de données personnelles entre les deux Etats. Dès lors, l’échange de données personnelles des citoyens Européens à des fins commerciales ne sera plus régit par cet accord, cette décision place donc les deux Etats en situation de vide juridique auquel il faut faire face.
http://www.lemonde.fr/pixels/article/2015/10/06/safe-harbor-que-change-l-arret-de-la-justice-europeenne-sur-les-donnees-personnelles_4783686_4408996.html
Qu’est-ce que l’affaire Max Schrems ?
Tout commença en 2011, lorsque le jeune Autrichien Max Schrems encore étudiant en droit, adresse une demande à Facebook pour lui faire part d’une copie de toutes les données que le réseau social détient sur lui. Conformément à la loi européenne, l’entreprise s’exécute ; Schrems reçoit un dossier contenant 1200 pages répertoriant ses trois années d’activité sur le réseau social. Quelle ne fût pas sa surprise lorsque ce dernier découvre que des informations qu’il avait pourtant effacées sur son compte restent toujours stockées sur le serveur.
C’est suite à cette constatation qu’il assigne le géant du réseau social Américain Facebook auprès de l’autorité Irlandaise, lieu du siège Européen de Facebook, au motif que l’État Américain n’offrait pas une protection suffisante des données personnelles confiées par les citoyens Européens. Ce dernier pour justifier ses allégations, rappelle les fondements de l’affaire « Prism » qui s’est déroulée un peu plus tôt aux États-Unis. Les révélations du jeune informaticien Edward Snowden soulignent les dérives et corruptions des services de renseignement des États-Unis. Elles démontreraient par-là que cette collecte massive d’information relative aux citoyens du monde entier, dépasse largement ses objectifs principaux de sécurité des citoyens ainsi que la lutte contre le terrorisme.
La plainte de Schrems est toutefois rejetée en raison d’une décision rendue par la Commission Européenne en date du 26 juillet 2000, déclarant que les États-Unis bénéficient d’un niveau de protection « adéquat » dans le cadre des transferts de données personnelles. Or le jeune combattant ne s’arrête pas à cette défaite et continu sa lutte contre le réseau social.
Quels sont les moyens avancés par le plaideur ?
La directive du 24 Octobre 1995 garanti un niveau élevé de protection des citoyens Européens à l’égard du traitement de leurs données personnelles. Elle permet de garantir le respect des droits fondamentaux édictés au sein de la charte Européenne, à savoir, le droit au respect de la vie privée et du droit des données à caractère personnel.
Dès lors, au regard de l’application de cette directive, l’avocat général de Max Schrems parvient à démontrer l’ingérence caractérisée et disproportionnée quant aux objectifs de sécurité poursuivis. Ceci en raison, du nombre considérable des données transférées à la fois non ciblées et indifférentes quant à l’individu concerné, mais également du nombre beaucoup trop important d’internautes visés.
Ainsi caractérisée, cette ingérence s’avère d’autant plus grave du fait qu’aucun recours juridictionnel ne soit offert aux citoyens membres de l’Union, auprès des instances judiciaires Américaines pour pouvoir se plaindre d’une telle atteinte à leurs droits fondamentaux.
Quelle est la décision rendue par la CJUE ?
C’est donc le 6 Octobre 2015 que la CJUE rend son jugement, en donnant raison au plaideur en déclarant «invalide» l’accord juridique couvrant le transfert de données personnelles de l’Union européenne vers les États-Unis. Cette décision concerne au premier chef le réseau social Facebook principalement ciblé par Schrems ainsi que tous les opérateurs de l’économie numérique se servant des données personnelles des citoyens européens.
Ainsi suite à cette décision, Max Schrems ne s’arrête pas à cette première victoire et continu son combat juridique contre Facebook et les réseaux sociaux. Dès lors suite à une telle décision prise par la Commission, il semble évident pour notre plaideur que devront automatiquement cesser tous transferts de données vers les data centers aux États-Unis opérés par les GAFA. Ce dernier faisant pression auprès des CNIL européennes et introduit un nouveau recours collectif devant le Tribunal de Viennes.
Existe-t-il cependant des moyens de dérogations pour les entreprises ?
Cette décision pourrait s’avérer fatidique pour les entreprises et constituer un frein à leur développement économique, cependant, seuls quelques moyens persistent en l’attente d’un nouveau cadre juridique.
1- Le transfert de données à caractère personnel peut être réalisé par le biais de clauses contractuelles permettant d’organiser ce dernier tout en garantissant un niveau de protection adéquat et sécurisé.
2- Le Binding Corporates Rules permet également d’encadrer le transfert des données clients effectué entre une même entreprise ou au sein d’un groupe d’entreprises.
3- Lorsque la personne concernée a donné son consentement de manière libre et éclairé au transfert envisagé.
Dès lors, en l’absence provisoire de cadre juridique, les entreprises désireuses d’effectuer des transferts de données personnelles vers des pays étrangers devront nécessairement remplir les conditions précitées afin de respecter la décision de la CJUE.
Qu’en ressort-il à l’heure actuelle de cette décision ?
L’invalidité du “safe harbor” implique la mise en œuvre de négociation pour aboutir à un nouvel accord régissant les transferts internationaux. Ce dernier prévoirait de renforcer les obligations relatives aux traitements des données ainsi que les sanctions prévues en cas de non-conformité aux règles applicables.
D’autre part, depuis le 8 septembre 2015, l’accord dit « Umbrella » conclu entre l’Europe et les États-Unis offre la possibilité de recours aux citoyens Européens devant la justice américaine pour défendre le droit à la protection de leurs données personnelles dans le cadre de transferts transfrontaliers.
C’est à l’issue d’une telle constatation que les craintes des grands acteurs de l’économie numérique se font ressentir et s’interrogent sur l’impact d’une telle décision sur leurs business models. Dès lors l’intérêt des réseaux sociaux ne serait plus le même, ce dernier pourrait être amené à perdre de sa gratuité et si « je ne suis plus le produit proposé par les réseaux sociaux aux entreprises, serai-je donc leur propre client » ?
Titulaire d’un Master 1 en droit des affaires j’ai choisi cette année de me spécialiser en droit de l’économie numérique, un domaine porteur en pleine expansion, pour lequel j’éprouve un profond intérêt.
