Commentaire arrêt droit de l'Union européenne

...

Cette solution présentée dans cet arrêt réaffirme le principe de souveraineté des Etats membres de l’Union Européenne, notamment en matière de protection des droits fondamentaux, qui est un sujet sensible au sein de l’Union. D’ailleurs, sur ce point, la Cour de Justice de l’Union Européenne semble confirmer une solution rendue précédemment dans un arrêt CJUE, Weltimmo du 1er octobre 2015.

Par conséquent, les autorités nationales de contrôle sont compétentes pour constater en toute indépendance une non-conformité de la décision de la Commission Européenne aux dispositions de la directive, néanmoins, ils ne peuvent pas remettre en cause la validité de cette décision puisque seule la Cour de Justice de l’Union Européenne est compétence pour juger la validité de cette décision.

- L’affirmation de la compétence exclusive de la Cour de Justice face à une décision de la Commission Européenne

Dans cet arrêt, la Cour de Justice de l’Union Européenne précise (n°59) que « une demande […] par laquelle une personne dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers fait valoir, comme dans l’affaire au principal, que le droit et les pratiques de ce pays n’assurent pas, nonobstant ce qu’a constaté la Commission dans une décision, un niveau de protection adéquat, doit être comprise comme portant en substance, sur la comptabilité de cette décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes ».

Par ses propos, la Cour de Justice estime que ce type de demande porte sur la comptabilité de la décision avec la protection des droits fondamentaux contenus dans la Charte. En la matière, la Cour de Justice de l’Union Européenne est la seule compétente pour juger la validité de la décision et pour statuer en dernier recours d’une demande relative à la protection des droits et des libertés fondamentales contenues dans la Charte.

En effet, si les autorités nationales de contrôle doutent de la conformité de la décision aux exigences de la directive, elles doivent saisir la Cour de Justice et celle-ci statuera en dernier recours sur la décision qui consacre le niveau de protection adéquat des Etats-Unis en matière de transfert des données personnelles. Cependant, si les autorités nationales de contrôle rejettent la demande formée par un ressortissant de leur Etat, alors, celles-ci doivent prévoir des voies de recours permettant à ledit ressortissant de faire valoir ses doutes concernant le respect de la protection de ses droits fondamentaux, notamment en matière de transfert de données personnelles. Ces voies de recours assurent une protection juridictionnelle effective tel que le prévoit l’article 47 alinéa 1 de la Charte[2].

Ainsi, saisie d’un recours, la Cour de Justice de l’Union Européenne, en tant que garante de l’application du droit de l’Union, a statué sur la validité de la décision 2000/520 rendue par la Commission Européenne bien que cette question ne lui ait pas été posée à la base.

- L’impact de la position de la Cour de Justice sur la question de la validité de la décision 2000/520

Dans cet arrêt en date du 6 octobre 2015, la Cour de Justice de l’Union Européenne se positionne sur la décisions 2000/520 rendue par la Commission Européenne. Celle-ci prévoyait le transfert de données à caractère personnel des ressortissants de l’Union Européenne vers les Etats-Unis en estimant que les entreprises américaines avaient un niveau de protection adéquat en la matière puisqu’elles respectaient un système d’auto certification. La Cour de Justice considère que les Etats-Unis ne remplissent pas ce niveau de protection et vient invalider la décision (A), ce qui permet de s’interroger sur les conséquences de cette invalidité (B).

- L’invalidité de la décision justifiée par l’absence de niveau de protection adéquat

Dans cet arrêt, la Cour de Justice de l’Union Européenne déclare (n°105 et 106) que « les articles 1et 3 de la décision 2000/520 étant indissociables des articles 2 et 4 ainsi que des annexes de celle-ci, leur invalidité a pour effet d’affecter la validité de cette décision dans son ensemble. […] Il convient de conclure que la décision 2000/520 est invalide ».

La Cour de Justice invalide donc la décision de la Commission Européenne qui prévoyait que les Etats-Unis avaient un niveau de protection adéquat en matière de transfert de données personnelles. La Cour vient préciser que la définition du niveau de protection adéquat n’est pas clair. Il faut que le pays tiers assure un niveau de protection adéquat en fonction de sa législation interne ou de ses engagements internationaux et en vue de la protection de la vie privée et des libertés et droits fondamentaux. La Cour de Justice considère que le niveau de protection ne doit pas être identique à celui de l’Union Européenne mais « substantiellement équivalent », ce qui permet une certaine marge de manœuvre aux Etats membres.

Or en l’espèce, la Commission Européenne a estimé qu’il y avait un niveau de protection adéquat puisque les Etats-Unis respectaient une sphère de sécurité qui est un système d’auto certification par lequel une entreprise américaine certifie qu'elle respecte la règlementation en matière de transfert des données personnelles de l’Union Européenne vers les États-Unis.

Cependant, ce système est applicable aux entreprises privées mais pas aux autorités administratives publiques. Les Etats-Unis font donc prévaloir une certaine primauté et une certaine ingérence qui leur permettent de passer outre la protection des droits fondamentaux, ce qui n’est pas normal puisqu’aucune règle n’encadre ce manquement à la protection des libertés et droits fondamentaux. Par conséquent, les administrations publiques américaines ne sont pas obligées de respecter cette « sphère de sécurité », ce qui, pour la Cour de Justice de l’Union Européenne constitue un manquement au niveau de protection adéquat requis en matière de transfert de données personnelles.

Avec cette solution, la Cour de Justice prend position de façon nouvelle sur le sujet de la sphère de sécurité, qui est un sujet qui fait débat de nos jours en Europe. C’est pourquoi, les conséquences et les répercussions de cet arrêt pourraient être importantes.

- Les conséquences de l’invalidité de la décision 2000/520

Avec cet arrêt rendu le 6

...