La Cour de Justice de l’Union européenne a invalidé la décision par laquelle la Commission européenne avait constaté que les Etats-Unis d’Amérique assurent un niveau de protection suffisant des données à caractère personnel européennes transférées. Cet arrêt est majeur pour la protection des données.
Le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles. La Commission européenne peut constater qu’un Etat n’appartenant pas à l’Union assure un tel niveau de protection. C’est ce qu’elle a fait, pour les Etats-Unis, à propos de la «sphère de sécurité» ou «safe harbor» par une décision du 26 juillet 2000.
Saisie dans le cadre d’une question préjudicielle, la Cour de Justice de l’Union européenne a jugé que, pour se prononcer sur le niveau de protection assuré par la «sphère de sécurité», la Commission européenne ne pouvait se limiter à la seule analyse de ce régime, mais devait apprécier si les Etats-Unis d’Amérique assuraient effectivement, par leur législation ou leurs engagements internationaux, «un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte».
Sur le fond, la Cour a relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux législations américaines d’ordre public et doivent, par suite, écarter «sans limitation» l’application des clauses du «safe harbor» qui leur seraient contraires.
Pour en savoir plus et lire le communiqué complet de la CNIL, c’est ici: