Moins de deux semaines après les conclusions de l’Avocat Général Yves Bot, la Cour de Justice de l’Union européenne (CJUE) a adressé mardi, 6 octobre 2015, un message clair à la Commission et aux États membres de l’UE, aux multinationales et au gouvernement américain : la protection des données personnelles et le respect de la vie privée sont des droits fondamentaux des citoyens qui doivent être respectés et garantis, dans une économie des données personnelles, et même dans le cadre de la lutte contre le terrorisme. Ils ne peuvent l’être par un accord conclu en 2000, le Safe Harbor, cadre juridique couvrant le transfert de données personnelles de l’Union européenne vers les États-Unis.
L’Association Européenne pour la Défense des droits de l’Homme (AEDH) salue le jugement de la CJUE. En affirmant que les autorités nationales de contrôle doivent pouvoir examiner, dans tous les cas, si un pays tiers vers lequel des données personnelles sont transférées assure un niveau adéquat de protection conformément à la directive protection des données (95/46/CE), elle remet au centre du jeu ces organismes restés jusque-là bien silencieux face à l’accumulation et la conservation de données personnelles par les entreprises américaines exerçant une activité en Europe ou face à la réutilisation de ces données au sein de programmes de surveillance massive.
Sur ce point, l’AEDH note que la Cour base notamment son raisonnement sur le non-respect du principe de nécessité dans la réglementation américaine, celle-ci autorisant « de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes […] sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi »[1]. Elle ajoute que cette réglementation ne prévoyant aucune possibilité pour le citoyen européen d’exercer ses droits d’accès, de rectification ou de suppression des données personnelles le concernant, elle « ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective »[2].
En jugeant aussi que « l’accès massif et indifférencié à des données à caractère personnel serait évidemment contraire au principe de proportionnalité »[3], on constate que ce n’est pas seulement l’inaction de la Commission qui est condamnée mais, en creux, les agissements de certains États membres qui légalisent aujourd’hui le même genre de pratiques au mépris des droits fondamentaux de leurs citoyens. Cadre général de protection des données, Umbrella Agreement, PNR, lois de surveillance nationales… L’arrêt du 6 octobre doit servir de base pour remettre les droits fondamentaux des citoyens au cœur de ces différents textes.
Cette décision de la CJUE, qui fait suite à la plainte de Max Schrems contre Facebook, trouve aussi ses origines dans les révélations faites par Edward Snowden à propos de la surveillance de masse exercée par la NSA. Elle démontre que lorsque des citoyens s’emparent des moyens de communication ou des instruments juridiques à leur disposition, nos droits ne s’en trouvent finalement que mieux garantis.
Pourtant, la première réaction de la Commission face à cette décision a été de rappeler les nombreuses dérogations prévues par la directive 95/46/CE pour chercher, par ce biais, à maintenir les flux de données des citoyens européens vers les Etats-Unis ce qui, selon elle, constitue « la colonne vertébrale de notre économie ». L’AEDH condamne cette position de la Commission qui persévère à vouloir bafouer, pour des motifs exclusivement économiques, les droits fondamentaux réaffirmés par la CJUE.
Bruxelles, 07 octobre 2015
Lire le communiqué de presse sur le site de l’AEDH: http://www.aedh.eu/Safe-Harbor-la-CJUE-redonne-tous.html
[1] Paragraphe 93 de l’arrêt C-362/14.
[2]Paragraphe 95 de l’arrêt.
[3] Paragraphe 33 de l’arrêt.