Dans son arrêt de Grande Chambre du 6 octobre 2015 (C-362/14), la Cour de Justice de l’Union (CJUE) a invalidé l’accord « Safe Harbor » suite à une question préjudicielle posée par l’autorité de protection des données irlandaise pour constater une ingérence disproportionné du droit fondamental à la vie privée1 ainsi que l’absence de voie de droit pour le justiciable afin d’avoir accès à des données à caractère personnel le concernant ou d’obtenir la rectification ou la suppression de telles données2 et, enfin, une possibilité d’intervention des autorités de contrôles fortement limitée3.
Concrètement, cette décision crée un vide juridique pour les géants que sont Google, Amazon, Facebook et Apple (GAFA) mais pas seulement, puisqu’environ 5500 entreprises sont concernées. La Commission, qui avait déjà entamé une renégociation de l’accord, devra donc impérativement aboutir à un nouvel accord, qui tiendra bien évidemment compte de la décision de la Cour de Justice du 6 octobre 2015, déjà dénommé « Safe Harbor 2 » par nombre de commentateurs.
En outre, il appartient désormais aux autorités de protection des données de chacun des pays de l’UE de se conformer à l’arrêt de la Cour de justice et donc d’examiner, au cas par cas, si le transfert des données de chaque entreprise doit être suspendu ou non lorsque le traitement des données est réalisé vers les Etats-Unis.
Les conséquences de cet arrêt sont toutefois à nuancer puisque la Commission européenne pose que « les transferts de données entre entreprises peuvent se poursuivre sur d’autre mécanismes ». En effet, des alternatives existent, telles que l’intégration de clauses contractuelles types posées de la Commission ou renforcer les clauses des contrats concernés déjà signés en s’appuyant sur des règles internes d’entreprises (« Binding Corportate Rules »), encore une fois à la lumière de la décision de la Cour de justice.
Il est à souligner que cette décision trouve un écho hors Union européenne, puisque le 22 octobre 2015, l’équivalent de la CNIL en Suisse a refusé le maintien d’un accord la liant aux USA, s’apparentant au « Safe Harbor ».
Par ailleurs, cette décision s’inscrit dans un contexte propice aux données personnelles. En effet, dans la perspective d’un « Marché unique numérique », l’Union européenne a mis en place un agenda digital dans le cadre plus général de ce qu’elle a appelé la « Stratégie 2020 ». Dans cette optique, cet agenda envisage la mise en place d’un « paquet sur les données personnelles », et plus précisément une régulation générale de protection des données, prenant la forme d’un Règlement, et chargée de remplacer la directive de 1995 à l’origine du « Safe Harbor », ainsi qu’une directive ayant comme objectif de se substituer à la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
S’agissant particulièrement de ce nouveau Règlement, il opère une réactualisation de la directive de 1995, sans la dénaturer, au regard de l’ère numérique qui ne cesse de se développer, ceci devant entrainer de nouvelles obligations pour les opérateurs économiques et donc des entreprises de pays tiers.
Concernant les alternatives aux accords entre l’Union et les pays tiers pouvant être prises sur la base de la directive de 1995, tels que le « Safe Habor », ce nouveau règlement précise quelles formes elles peuvent prendre, renforçant ainsi la sécurité juridique des entreprises : il est désormais explicitement précisé qu’il est possible d’adopter des :
« règles d’entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par celle-ci, ou d’autres mesures adaptées et proportionnées qui se justifient au regard des circonstances qui entourent une opération ou une série d’opérations de transfert de données, et dans les cas autorisés par une autorité de contrôle ».
Considérant 83 du projet de règlement
Enfin, il est à noter que les États membres ont approuvé, le 15 juin, leur position commune sur le règlement relatif à la protection des données, le premier trilogue ayant été programmé le 24 juin. Les négociateurs espèrent ainsi conclure un accord final d’ici fin 2015.
1 Points 93 à 94
2 Point 95
3 Point 101