Le 6 octobre 2015, la Cour de Justice de l'Union Européenne (CJUE) publie l'arrêt Schrems. Dans cette décision, la cour estime que la législation de l'Union Européenne n'offre pas suffisamment de protection pour les données personnelles exportées hors du territoire de l'Union Européenne.

Cette décision rend illégaux beaucoup de transferts de données, notamment de l'UE vers les Etats-Unis. En effet, la cour soulève des questions concernant des ingérences aux droits fondamentaux des personnes dont les données personnelles sont exportées.

Le Working Party 29 (WP29), un groupe travaillant au sein de l'Union Européenne  spécialisé dans la protection des données et composé de représentants des Etats-Membres, a décidé d'évaluer peu après la publication de la décision les conséquences qu'elle a eu sur les transferts de données. Le WP29 a donc analysé la jurisprudence de la CJUE liée à la Charte des Droits Fondamentaux, ainsi que les décisions de la Cour Européenne des Droits de l'Homme (CrEDH) liées à la Convention Européenne des Droits de l'Homme (CEDH).

L'ensemble de ce travail peut être résumé de la manière suivante : une entrave justifiée aux droits de l'homme, dans une société démocratique. Le résultat de cette étude a été intitulé par le WP29 "Les quatre garanties essentielles européennes" (les Garanties).

Nous pouvons nous intéresser dans une première partie aux ingérences aux droits fondamentaux, pour ensuite se pencher sur les Quatre Garanties.

Les entraves aux droits fondamentaux

La Charte des Droits Fondamentaux instaure des droits fondamentaux liés à la vie privée. Dans l'arrêt Schrems, la CJUE considère que la législation de l'UE doit poser des règles claires et précises gouvernant le champ et l'application d'une mesure, et imposer un seuil de protection minimum. Le but est que les individus possèdent suffisamment de garanties pour que leurs données personnelles soient protégées de tout abus et ne donnent lieu à aucun usage illégal.

La Cour Européenne des Droits de l'Homme offre aussi une protection des droits fondamentaux liée aux données personnelles. Dans un arrêt Zakharov rendu le 5 décembre 2015, elle considère que les ingérences au droit à la vie privée ne sont justifiées que si elles sont "en accord avec la loi, et qu'elles poursuivent un but légitime et nécessaire dans une société démocratique".

La CEDH ainsi que la Charte incluent un test de nécessité et de proportionnalité. Les limitations ne sont acceptées que si elles sont nécessaires, et objectivement d'intérêt général reconnu par l'UE, ou par un besoin de protection des droits et libertés. Les deux cours de justice considèrent que toute limitation ou ingérence aux droits fondamentaux relatifs à la vie privée ou la protection des données ne peut être justifiée que si cela est "strictement nécessaire dans une société démocratique". La CEDH précise que les Etats ont une importante marge d'appréciation dans le choix des mesures nécessaires pour accomplir un but légitime de protection nationale. La collecte de données personnelles peut par exemple être un but légitime poursuivit par un Etat.

En principe, toutes les opérations de récupération de données ou de surveillance constituent une ingérence, notamment lorsque des données relatives à la vie privée sont récupérées par une autorité publique.

En revanche, la CJUE ainsi que la CEDH ont toutes deux précisé de manière claire qu'en l'absence de jugement de leur part, c'est à dire de jurisprudence indiquant la marche à suivre, les autorités possèdent tout pouvoir pour gérer chaque cas individuellement et décider si la récupération de données constitue la violation d'un droit fondamental ou non.

Les Garanties Européennes Essentielles

Le WP29 a analysé les différentes jurisprudences afin de définir les Garanties Essentielles Européennes. Ces Garanties devraient être mises en place pour s'assurer que des ingérences relatives à la protection des données et à la vie privée n'existent pas dans les Etats de l'Union Européenne.

Ces garanties sont au nombre de quatre :

  • le processus doit être basé sur des règles claires, précises, accessibles
  • les mesures doivent être nécessaires et proportionnelles
  • un mécanisme indépendant de surveillance doit exister
  • des recours efficaces doivent être disponibles pour tout individu

Le WP29 souligne que ces Garanties sont fondées sur des droits fondamentaux, et ceci peu importe la nationalité des personnes auxquels ils s'appliquent. De plus, ce groupe a souvent demandé aux Etats-Membres d'aligner leur loi sur les jurisprudences de la CJUE et de la CEDH.

Les différentes décisions rendues récemment par les deux courts de justice européennes chargées de la protection des droits fondamentaux interviennent dans un contexte où le débat sur la protection des données et la vie privée prend de l'importance.

En effet, la protection de la vie privée et des données personnelles des personnes par rapport aux gouvernements a toujours été un sujet brûlant. On peut notamment se pencher sur un sujet très récent où la société Apple s'est opposée au FBI américain. Ce dernier désirait, dans un but de lutte contre le terrorisme, obtenir des données contenues sur un téléphone vendu par cette marque. La société Apple ayant refusé de céder aux demandes du FBI, un important bras de fer s'est enclenché, aboutissant à une argumentation entre défenseurs des droits de l'homme et partisans de la légitime intervention du gouvernement dans un but d'intérêt général.

Le débat, qui semble majoritairement politique, touche aussi particulièrement le monde économique. Les sociétés du GAFA (Google, Amazon, Facebook, Apple) étant régulièrement montrées du doigt par les autorités européennes qui considèrent que leurs pratiques portent trop souvent atteinte à la vie privée des personnes. Il est d'ailleurs possible de penser que c'est dans ce contexte que la CJUE a rendu l'arrêt Schrems, considérant que les données exportées hors du territoire de l'Union Européenne n'étaient pas assez protégées une fois arrivées sur le territoire des Etats-Unis, où est situé le GAFA.

Le développement de la jurisprudence des cours de justices européennes et leur pouvoir d'imposer leurs décisions sur les Etats-Membres permettront d'aboutir à une législation étatique qui encadrera l'utilisation des données personnelles, et la protection à la vie privée, tant par le gouvernement que par les sociétés.

Néanmoins, il est possible de s'interroger sur la rapidité des gouvernements à faire voter des lois, les Etats peinant en effet déjà à suivre et encadrer le développement exponentiel du domaine numérique.

Comme le dirait le constitutionnaliste Guy Carcassonne "Le problème de la démocratie, c'est qu'elle est lente à agir".

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.