Suite à l’affaire Max Schrems, la Cour de Justice de l'Union Européenne a invalidé le 6 octobre 2015 la décision "Safe Harbor" n°2000/520/EC3 adoptée par la Commission européenne le 26 juillet 2000, qui autorisait le libre transfert des données personnelles des citoyens de l'Union européenne à des entreprises établies aux États-Unis.

La Haute Cour de justice irlandaise, qui avait saisi la CJUE en juillet 2014, devra donc examiner la plainte de M. Schrems et évaluer s’il convient de suspendre les transferts de données personnelles des utilisateurs Facebook européens vers les Etats-Unis. L'affaire est donc loin d'être terminée et pourrait encore réserver des surprises.

Alors même que l'arrêt de la CJUE n'est qu'une étape dans le combat mené par M. Schrems contre Facebook, deux zpoints au moins sont à retenir de cette décision :

• Cet arrêt s’inscrit dans la droite ligne de la position prise par la CJUE dans l'affaire Weltimmo le 1er octobre 2015. Dans l'affaire Schrems comme dans l'affaire Weltimmo, la Cour s'attache à réaffirmer la liberté de contrôle dont disposent les autorités nationales pour déterminer si un pays offre un niveau de protection adéquat aux données personnelles de résidents européens transférées vers ce pays. Ainsi, même en présence d'une décision de la Commission déclarant qu'un pays offre un niveau de protection adéquat, les autorités nationales conservent la liberté d'évaluer si le transfert de données opéré vers ce pays respecte la réglementation européenne. C'est d'ailleurs en partie parce que la décision Safe Harbor de Juillet 2000 interdisait ce contrôle par les autorités nationales qu'elle est invalidée.
  
  Cependant, alors qu'est en discussion un projet de Règlement européen sur la protection des données personnelles dont l'objectif principal est d'harmoniser les législations européennes en la matière, cet arrêt peut soulever quelques questions. On peut en effet s'interroger sur la façon de concilier ces deux impératifs. Le G29 a déjà fait part de sa volonté de réunir les autorités nationales afin d'harmoniser l'analyse et les conséquences de l'arrêt Schrems.

• Par ailleurs, la Cour fonde largement sa décision sur le fait que les principes de protection du Safe Harbor s'effacent devant les nombreuses exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des Etats Unis. Ainsi, la sphère de sécurité créée par le Safe Harbor paraît bien trop perméable ; les révélations d'Edward Snowden en 2013, sur les programmes de surveillance de masse américains en sont la parfaite illustration. De fait, le Safe Harbor n'offre pas un niveau de protection des données suffisant puisque le respect d'un grand nombre de textes réglementaires internes permet d'écarter les engagements pris au titre du Safe Harbor.
  
  Mais ce qui est aujourd'hui reproché au Safe Harbor lui est-il vraiment spécifique ? En effet, pour transférer des données depuis l'Union Européenne vers les Etats Unis, les entreprises pourront utiliser les clauses contractuelles ou règles internes d'entreprises.

Cependant, on peut s'interroger sur les garanties supplémentaires que de tels dispositifs peuvent réellement offrir. S'agissant de mécanismes contractuels, on imagine aisément qu'ils seront aussi facilement écartés face à des règles impératives posées par la réglementation américaine aux entreprises établies dans sa juridiction.

Dès lors, ne faudrait-il pas engager une réflexion plus en profondeur sur les moyens mis en œuvre par l'Union Européenne pour garantir la sécurité des données de ses ressortissants hors de ses frontières ?

Mais soyons pragmatiques, les transferts de données depuis l'Union Européenne vers les Etats-Unis ne peuvent s'interrompre, ce qui ne serait d'ailleurs pas souhaitable. Alors quelle solution proposer, au lendemain de l'arrêt Schrems, aux entreprises concernées ? Les travaux du G29 avec les autorités nationales, mais également avec les autorités américaines seront à surveiller de près. Il faudra quelques mois avant que toutes les conséquences de cet arrêt soient réellement comprises et perçues. Il s'agit donc de ne pas se précipiter. Certaines autorités européennes ont bien sûr déjà réagit, notamment afin de confirmer le possible usage des clauses contractuelles standards. Toutefois, la majorité des autorités sont réservées et temporisent en attendant la réunion qui doit être organisée par le G29 entre les représentants des différentes autorités. C'est notamment la position adoptée par la CNiL. Toutefois, les entreprises concernées doivent dès à présent entamer une réflexion de fond sur leurs pratiques en termes de transfert de données, leur organisation interne et/ou contractuelle, etc. Et n'oublions pas qu'un transfert de données hors de l'UE est également autorisé en cas de consentement exprès de la personne concernée, voici donc peut être venir l'ère de la toute puissance du consentement de l'individu…

Par Diane Mullenex et Annabelle Richard, avocats à la Cour, Pinsent Masons.