La Cour de justice de l’Union européenne a rendu, le 6 octobre 2015, un arrêt fondamental concernant la protection des données à caractère personnel. Cette décision traite du contrôle des transferts de données vers les pays tiers et de l’indépendance des autorités nationales de surveillance. Un ressortissant autrichien a contesté le transfert de ses informations par la filiale irlandaise d’un réseau social vers sa maison mère américaine. Ce dernier estimait que le droit des États-Unis n’offrait pas de garanties suffisantes contre les activités de surveillance pratiquées par les autorités publiques. Le commissaire irlandais à la protection des données a d’abord rejeté la plainte en se fondant sur une décision de la Commission européenne. La Haute Cour de Dublin, par une décision du 18 juin 2014, a décidé de surseoir à statuer pour interroger la juridiction européenne. La question posée portait sur le caractère contraignant d’une constatation d’adéquation de la Commission à l’égard des autorités nationales de contrôle. Le juge de l’Union a précisé les conditions de validité d’un tel transfert avant de prononcer l’invalidité totale du régime de la sphère de sécurité. Le maintien des pouvoirs de contrôle nationaux précède l’examen de la légalité de la décision d’adéquation.
I. La sauvegarde de l’indépendance des autorités nationales de contrôle
A. Le maintien de la compétence d’enquête des autorités de surveillance
L’institution d’autorités de contrôle indépendantes constitue un « élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel ». Cette exigence constitutionnelle vise à assurer l’efficacité et la fiabilité du contrôle du respect des règles de l’Union. Une décision de la Commission constatant un niveau de protection adéquat ne saurait « annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales ». Chaque autorité doit donc pouvoir vérifier si un transfert d’informations vers un État tiers respecte les exigences posées par la directive.
Les autorités nationales doivent pouvoir examiner en toute indépendance si le transfert de ces données respecte les exigences de la protection de la vie privée. En effet, la Charte des droits fondamentaux garantit à toute personne le droit de saisir une autorité de contrôle d’une demande de protection. L’article 28 de la directive ne prévoit aucune exception dans l’hypothèse où une décision d’adéquation aurait été adoptée par l’institution européenne. Ainsi, le commissaire national reste investi de sa mission de surveillance même en présence d’un acte juridique de portée générale.
B. L’encadrement des décisions d’adéquation de la Commission
Les actes des institutions de l’Union jouissent d’une présomption de légalité tant qu’ils n’ont pas été retirés ou déclarés invalides par la Cour. Toutefois, une décision adoptée par la Commission ne peut empêcher une personne de contester la compatibilité de ce texte avec ses libertés fondamentales. Les autorités nationales de contrôle ne sont cependant pas dotées de la compétence pour « constater elles‑mêmes l’invalidité d’un tel acte ». Elles doivent examiner les demandes avec diligence avant de porter éventuellement le litige devant les juridictions de leur propre État.
Dans l’hypothèse où l’autorité estime fondés les griefs avancés par le plaignant, elle doit pouvoir ester en justice selon les modalités nationales. Il incombe alors au législateur national de prévoir des voies de recours permettant de faire valoir ces doutes devant un tribunal. Ce dernier est ensuite tenu de saisir la Cour de justice d’un renvoi préjudiciel en appréciation de validité de la décision litigieuse. Cette procédure assure l’application uniforme du droit communautaire tout en garantissant un contrôle juridictionnel effectif des actes de la Commission.
II. L’invalidité manifeste du régime de la sphère de sécurité
A. L’absence de protection substantiellement équivalente aux États-Unis
Le caractère adéquat de la protection assurée par un pays tiers s’apprécie au regard de la législation interne ou de ses engagements internationaux. L’expression « niveau de protection adéquat » exige que l’État tiers assure un niveau de protection « substantiellement équivalent à celui garanti au sein de l’Union ». La Commission doit apprécier tant le contenu des règles applicables que la pratique visant à assurer le respect effectif de ces normes. Or, le système américain repose sur une autocertification sans mécanismes efficaces de détection des violations par les autorités publiques.
L’applicabilité des principes de la sphère de sécurité peut être limitée par les « exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois ». Cette primauté du droit américain permet des ingérences dans les droits fondamentaux des personnes dont les informations sont transférées vers cet État. Une réglementation autorisant l’accès généralisé au contenu des communications électroniques porte atteinte au « contenu essentiel du droit fondamental au respect de la vie privée ». Ainsi, la primauté des intérêts étatiques américains vide de sa substance la protection offerte par le régime d’adéquation.
B. L’atteinte au droit fondamental à une protection juridictionnelle
La protection du droit au respect de la vie privée exige que les limitations apportées s’opèrent dans les limites du strict nécessaire. Une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit pour accéder à ses données ne respecte pas la Charte. L’existence même d’un « contrôle juridictionnel effectif destiné à assurer le respect des dispositions du droit de l’Union est inhérente à l’existence d’un État de droit ». Or, la Commission a constaté l’absence de voies de recours effectives aux États-Unis contre les programmes de surveillance à grande échelle.
La Commission a outrepassé la compétence attribuée par le législateur en restreignant les pouvoirs des autorités nationales de contrôle dans sa décision. En privant ces autorités de leur pouvoir d’investigation, l’institution a méconnu l’article 28 de la directive lu à la lumière des droits fondamentaux. L’invalidité de cette disposition affecte la validité de la décision dans son ensemble car elle en constitue un élément indissociable. La Cour conclut donc à l’invalidité totale du régime de la sphère de sécurité pour garantir la protection effective des citoyens européens.
