Après une décision sur le droit à l'oubli, en 2014, c'est la deuxième fois que la CJUE s'immisce dans des affaires touchant aux géants américains de l'internet. (Photo: Benjamin Champenois / Archives)

Après une décision sur le droit à l'oubli, en 2014, c'est la deuxième fois que la CJUE s'immisce dans des affaires touchant aux géants américains de l'internet. (Photo: Benjamin Champenois / Archives)

La Cour de justice de l’Union européenne (CJUE) a annulé, ce mardi à Luxembourg, l’accord Safe Harbor autorisant le transfert de données de citoyens européens vers les États-Unis par des sociétés américaines présentes en Europe, dont les géants de l’internet.

L’affaire avait débuté en Irlande où un jeune Autrichien, Max Schrems, avait déposé plainte contre Facebook, considérant – au vu des révélations d’Edward Snowden sur les pratiques du renseignement américain – que ses données n’étaient pas protégées.

La justice irlandaise avait rejeté sa plainte sur base d’une décision de la Commission européenne qui, en 2000, avait estimé que dans le cadre du régime de la «sphère de sécurité» les États-Unis assuraient un niveau adéquat de protection aux données à caractère personnel.

Double question

La Haute Cour de justice irlandaise s’est alors tournée vers la Cour de justice de l’Union européenne pour savoir si cette décision de la Commission avait pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assurait pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.

Dans l’arrêt qu’elle a rendu ce matin, la CJUE a suivi les recommandations qui lui avaient été faites le 23 septembre dernier par l’avocat général Yves Bot, selon lequel «l’existence d’une décision de la Commission ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle», parmi lesquelles figure – au Luxembourg – la Commission nationale pour la protection des données (CNPD).

Pour Yves Bot, cette décision de la Commission était de surcroît «invalide», l’exécutif européen ne disposant pas de la compétence de restreindre les pouvoirs des autorités nationales.

Atteinte à la vie privée

Soulignant que la mise à disposition des données personnelles des Européens aux agences de renseignement américaines «portait atteinte au contenu essentiel du droit fondamental au respect de la vie privée», la CJUE a également pointé ce matin le fait que les citoyens européens ne disposaient d’aucun recours pour protester contre l’utilisation de leurs données personnelles aux États-Unis.

4.000 sociétés américaines concernées

Elle a donc invalidé la décision de la Commission prise en 2000 et annulé l’accord du Safe Harbor dont profitaient jusqu’ici – outre Facebook et Google – 4.000 sociétés américaines installées en Europe, dont Skype, Amazon ou encore Microsoft au Luxembourg.

Celles-ci vont très certainement devoir à l’avenir conserver sur le territoire de l’Union européenne les données de leurs utilisateurs européens et limiter leurs marges de manœuvre en matière d’exploitation de ces données.

Viviane Reding salue le combat de Max Schrems

Réagissant à cette décision, l’eurodéputée luxembourgeoise Viviane Reding, qui fut à la manœuvre des travaux de réforme de la directive encadrant la protection des données – toujours en cours – lorsqu’elle était vice-présidente de la commission en charge de la justice, des droits fondamentaux et de la citoyenneté – a salué les efforts et le combat de Max Schrems. 

«C’est un bel exemple d'initiative citoyenne», a-t-elle dclaré. «L'Europe n'est pas une tour d'ivoire inaccessible. Les citoyens peuvent influer sur les décisions, son engagement en est la preuve.»