Le 23 septembre 2015 sera désormais une date importante en matière de protection des données personnelles. En effet, l’avocat général M. Yves Dot a rendu ses conclusions dans l’affaire qui oppose Maximilian Schrems à la Data Protection Commissionner concernant le transfert des données des abonnés européens de Facebook vers des serveurs situés aux États-Unis.
Un mois après les révélations d’Edward Snowden, Maximilian Schrems décide de saisir la Commission chargée de la protection des données personnelles en Irlande. Il conteste le transfert de ses données personnelles par Facebook Ireland Ltd à Facebook USA et la conservation de celles-ci sur les serveurs de la société-mère aux États-Unis. Il considère qu’il ne peut y avoir une protection suffisante de ses données personnelles sur le territoire américain, alors que le programme de surveillance PRISM permet à l’État américain d’accéder librement à des données stockées sur des serveurs.
Quant à elle, la Commission irlandaise estime qu’elle n’a pas de contrôle à exercer sur le transfert des données puisque la décision de la Commission européenne du 26 juillet 2000 relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité», et adoptée conformément à la directive du 24 octobre 1995 sur le traitement et la circulation des données personnelles, prévoit que les États-Unis dispose d’un niveau de protection adéquat en la matière.
Dans une décision du 18 juin 2014, la Haute Cour de justice en Irlande décide de poser la question préjudicielle suivante à la Cour de Justice de l’Union européenne :
Eu égard aux articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne et sans préjudice des dispositions de l’article 25, paragraphe 6, de la directive 95/46/CE , le Commissaire indépendant chargé d’appliquer la législation sur la protection des données saisi d’une plainte relative au transfert de données à caractère personnel vers un pays tiers (en l’occurrence les États-Unis d’Amérique) dont le plaignant soutient que le droit et les pratiques n’offriraient pas des protections adéquates à la personne concernée est-il absolument lié par la constatation contraire de l’Union contenue dans la décision de la Commission du 26 juillet 2000 (2000/520/CE)? Dans le cas contraire, peut-il ou doit-il mener sa propre enquête en s’instruisant de la manière dont les faits ont évolué depuis la première publication de la décision de la Commission?
Dans ses conclusions, l’avocat général Yves Bot opte très clairement pour les arguments de Maximilian Schmers en considérant que la Commission irlandaise, ainsi que toutes les autorités nationales équivalentes, disposent des pouvoirs d’investigation pour vérifier le niveau de protection mis en place par les États :
l’existence d’une décision adoptée par la Commission européenne sur le fondement de l’article 25, paragraphe 6, de la directive 95/46 n’a pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat aux données à caractère personnel transférées et, le cas échéant, de suspendre le transfert de ces données.
et que la décision de la Commission du 26 juillet 2000 est invalide, son application aurait dû être suspendue :
le droit et la pratique des États-Unis permettent de collecter, à large échelle, les données à caractère personnel de citoyens de l’Union qui sont transférées dans le cadre du régime de la sphère de sécurité, sans que ces derniers bénéficient d’une protection juridictionnelle effective.
Une telle surveillance massive et non ciblée est disproportionnée par nature et constitue une ingérence injustifiée dans les droits garantis par les articles 7 et 8 de la Charte (relatifs à la vie privée et familiale et à la protection des données à caractère personnel)
Dans ses conclusions, M. Yves Bot estime également que si «la Commission a décidé d’entamer des négociations avec les États-Unis, c’est bien que, au préalable, elle a considéré que le niveau de protection assuré par ce pays tiers n’était plus adéquat.» En effet, l’Europe et les États-Unis sont sur le point de finaliser une entente concernant la protection des données personnelles. La chambre des représentants des États-Unis devrait dans les prochains mois adopter un projet de loi nommé Judicial Project Act, afin que les citoyens européens puissent engager une procédure judiciaire aux États-Unis et contester l’utilisation de leurs données personnelles. Nous pouvons nous réjouir à l’idée que les européens auront à la fois la possibilité de saisir les autorités nationales de contrôle en Europe et les tribunaux américains.
Toutefois, de nombreuses questions se posent : allons-nous vers une surveillance plus accrue du transfert des données personnelles entre l’Europe et les États-Unis ? Les recours des citoyens vont-ils se multiplier en la matière ? Le temps nous permettra surement de répondre à toutes ces questions, mais espérons que l’existence de ces recours incitera les entreprises, et en premier lieu les géants du web, à adopter des politiques plus rigoureuses en matière de protection des données personnelles.