Le 6 octobre dernier, la Cour de justice de l’Union européenne (CJUE) a invalidé une décision de la Commission européenne – dite décision safe harbor – permettant aux entreprises de transférer des données personnelles vers les États-Unis. Cet arrêt entraîne une forte insécurité juridique pour les sociétés françaises.
Par Anne-Laure Villedieu, avocat associé, CMS Bureau Francis Lefebvre
Dans son arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a conclu à l’invalidité de la décision 2000/520 du 26 juillet 2000 de la Commission européenne relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité», dite décision «safe harbor» (CJUE, 6 octobre 2015, C-361/14). Cette décision, qui fait l’effet d’un coup de tonnerre, remet en cause les modalités actuelles de transfert des données vers les Etats-Unis.
A l’origine de cette affaire, un utilisateur de Facebook avait saisi le Commissaire irlandais à la protection des données (équivalent de la CNIL), en contestant les modalités de conservation par Facebook Ireland des données de ses abonnés irlandais sur des serveurs situés aux Etats-Unis. Le Commissaire avait refusé de diligenter une enquête, s’estimant lié par la décision de la Commission du 26 juillet 2000, qui jugeait adéquat le niveau de protection accordé par les Etats-Unis aux données personnelles stockées sur son territoire. Saisie d’un recours, la Haute cour de justice irlandaise a posé à la CJUE la question de savoir si une autorité nationale de protection des données était liée par une décision de l’Union constatant l’existence d’une protection adéquate, ou si elle pouvait ou devait, malgré l’existence d’une telle décision, diligenter sa propre enquête.
Sur le premier point, la Cour répond clairement qu’une décision de la Commission européenne ne peut réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle. Celles-ci peuvent donc diligenter des contrôles en toute indépendance.
