Bruxelles, 23/09/2015 (Agence Europe) - La décision de la Commission européenne de 2000 selon laquelle les États-Unis offrent un niveau de protection adéquat aux données à caractère personnel de citoyens européens qui y sont transférées via des réseaux sociaux tels Facebook doit être considérée comme invalide et ne doit pas empêcher les autorités nationales des États membres de suspendre le transfert de ces données vers des serveurs situés dans ce pays.
Telle est la substance des conclusions auxquelles est parvenu l'Avocat général Yves Bot dans l'affaire Schrems (C-362/14 voir aussi EUROPE 11281, 11287 et 11331), du nom de cet utilisateur autrichien de Facebook qui, à la suite des révélations d'Edward Snowden concernant le traitement par la National Security Agency (NSA) américaine des données privées transitant par les réseaux sociaux à l'insu des intéressés, avait porté plainte auprès des autorités irlandaises contre le transfert de ses données à caractère personnel sur des serveurs situés aux États-Unis par la filiale irlandaise de Facebook. M. Schrems estimait que le droit et les pratiques des États-Unis n'offraient aucune protection réelle contre la surveillance occulte, par l'État américain, des données transférées dans ce pays. L'autorité irlandaise avait rejeté sa plainte invoquant une décision de la Commission européenne du 26 juillet 2000 par laquelle cette dernière constatait que les États-Unis offrent un niveau de protection adéquat des données personnelles transférées, conforme aux exigences de la directive sur la protection des données privées (95/46/CE), une décision qui avait servi de base à l'accord dit 'Safe Harbour' entre l'UE et les États-Unis permettant le transfert électronique de données privées de citoyens européens vers ce pays. La High Court of Ireland, saisie de l'affaire, demande aux juges européens si la décision de la Commission a un effet contraignant pour les États membres, les empêchant d'enquêter en cas de contestation de la décision de la Commission et, le cas échéant, de suspendre le transfert de données contesté.
Dans ses conclusions, l'Avocat général suggère aux juges de répondre par la négative à ces questions. Selon lui, la décision de la Commission « ne peut annihiler, ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la directive sur le traitement des données personnelles ». Et d'expliquer qu'en ce qui concerne le contrôle de la protection de ces données, la directive donne aux autorités nationales une totale indépendance en matière d'investigation et d'interdiction et que celles-ci doivent pouvoir suspendre le transfert de données si elles estiment que ce transfert porte atteinte à la protection des citoyens quant au traitement de leurs données personnelles. Si les autorités nationales sont liées juridiquement par une décision de la Commission en la matière, celle-ci ne peut avoir un effet contraignant à leur égard et ne peut être de nature à imposer que les plaintes soient rejetées sommairement, sans aucun examen de leur bien-fondé, estime l'Avocat général.
M. Bot estime par ailleurs que la décision de la Commission est invalide dans la mesure où la Commission elle-même a constaté (ainsi que la High Court of Ireland) que le droit et la pratique des États-Unis permettent aux autorités de ce pays de collecter, à large échelle et de façon indiscriminée, les données à caractère personnel des citoyens de l'UE qui sont transférées, sans ce que ces derniers bénéficient d'une protection juridictionnelle effective. L'accès à ces données à l'insu des intéressés et leur traitement par les services de renseignement américains, sans possibilité de recours, constituent, selon lui, une ingérence dans le droit au respect de la vie privée et à la protection des données à caractère personnel. Dans ces conditions, conclut l'Avocat général, la décision de la Commission n'offre pas de garanties suffisantes quant au respect de ces droits garantis par la directive et par la Charte des droits fondamentaux de l'UE, et doit donc être considérée comme invalide. De plus, constatant ces violations par les autorités américaines, la Commission aurait dû, selon lui, suspendre l'application de sa décision (et par conséquent, le transfert de données prévu par le 'Safe Harbour'), et ce, même si des négociations sont en cours entre elle et les autorités américaines pour mettre fin à ces manquements (d'autant plus, relève M. Bot, qu'elle a ouvert ces négociations après avoir constaté ces manquements et avoir estimé que la décision de 2000 n'était plus adaptée à la réalité de la situation).
Les réactions à ces conclusions ne se sont pas fait attendre. Ainsi, la Commission a réagi de façon laconique, réaffirmant sa volonté de protéger concrètement les données personnelles et confiant en la possibilité de conclure « bientôt » les négociations entamées en 2014 afin de renforcer le 'Safe Harbour' et de rétablir la confiance dans le mécanisme de transfert transatlantique de données. Le plaignant, Max Schrems, a estimé sur son site que « des années de travail semblent avoir payé », espérant que les juges suivront les conclusions de l'Avocat général. Digitaleurope, qui représente les principaux acteurs mondiaux des technologies numériques, se déclare « préoccupée (...) pour les perturbations potentielles aux flux internationaux de données et le possible ralentissement de la création d'un marché unique numérique que pourrait occasionner un arrêt de la Cour allant dans le sens des conclusions de l'Avocat général ». Par contre, l'EDRi, qui regroupe une série d'associations de protection des droits et des libertés des citoyens dans l'environnement numérique, salue, dans ces conclusions, « un premier pas important pour le droit à la vie privée en Europe ». (Francesco Gariazzo)