Article IT et données personnelles Droit de la concurrence, consommation et distribution Contrats commerciaux et internationaux | 03/06/16 | 3 min. | Florence Chafiol
Le rapport de l’avocat général de la cour de justice de l’union européenne pourrait remettre en cause la validité du safe harbor
Dans le cadre d’une affaire opposant Facebook à un jeune Autrichien Maximillian Schrems, l’Avocat Général Yves Bot a rendu le 23 septembre 2015 un rapport aux termes duquel il considère que le transfert de données à caractère personnel de l’Union Européenne vers les Etats Unis, sur la base des principes du Safe Harbor pourrait être invalide. Si la Cour de Justice de l’Union Européenne devait suivre cet avis, ce qui est souvent le cas, bien qu’elle ne s’y soit pas tenue, ce sont des centaines de milliers de transferts de données à caractère personnel réalisés par les sociétés françaises et européennes vers des sociétés américaines ayant adhéré aux principes du Safe Harbor qui pourraient être remis en cause.
L’affaire fait grand bruit, d’autant que la décision de la CJUE est attendue pour la fin de l’année et que, si elle devait confirmer ces propos, un grand nombre de transferts devraient alors être réalisés non plus sur la base du Safe Harbor mais en mettant en place soit des clauses contractuelles entre l’importateur de données et l’exportateur de données, soit des Règles Contraignantes d’Entreprise (ou « Binding Corporate Rules » ou « BCR »).
Cela étant, cette invalidité ne serait vraisemblablement pas générale et pourrait plutôt être relevée au cas par cas, M. Bot insistant sur le fait que les autorités de contrôle locales (la CNIL pour la France) devraient être en mesure d’investiguer en totale indépendance lorsque des plaintes sont formulées auprès d’elles, sans être tenues par le principe de validité du Safe Harbor (sur la base de la décision 2000/520 validant les transferts de données à caractère personnel de l’Union Européenne vers les Etats Unis pour les sociétés américaines ayant adhéré aux principes du Safe Harbor).
Et c’est justement parce que l’autorité de contrôle irlandaise, saisie de l’affaire opposant Max Schrems à Facebook, a refusé d’invalider le transfert en se retranchant derrière le fait que Facebook a adhéré aux principes du Safe Harbor que Max Schrems a formé un recours devant la High Courtirlandaise, laquelle a saisi la CJUE.
Mr Bot considère donc que les autorités de contrôle locales devraient pouvoir intervenir pour suspendre tel ou tel transfert de données à caractère personnel basé sur le Safe Harbor.
L’Avocat Général justifie son point de vue en précisant que « l’accès dont disposent les services de renseignement américains aux données transférées est constitutif d’une ingérence dans le droit au respect de la vie privée (…) la surveillance exercée par les services de renseignement américains[étant] massive et non ciblée ».
Les négociations en cours depuis nombreux mois entre les Etats Unis et la Commission Européenne au sujet du programme de Safe Harbor s’enlisent et une décision de la CJUE qui irait dans le sens du rapport de l’Avocat Général Bot pourrait conduire à une nouvelle prolongation des discussions. Cette prolongation laisserait alors dans le flou, pour plus longtemps encore, toutes les sociétés qui s’appuient sur les principes du Safe Harbor pour transférer leurs données de l’Europe vers les Etats Unis. Cela pourrait même conduire certaines d’entre elles à signer à la va-vite des clauses contractuelles type pour légitimer les transferts, clauses qui ne seraient pour la plupart ni lues, ni respectées et donc tout aussi peu protectrices des intérêts des personnes concernées que si le Safe Harbor avait continué à s’appliquer...
En somme, mieux vaut éviter toute précipitation et attendre les prochaines étapes.
Florence Chafiol, associé