Dernière actualité : E.U : Neutralité du net : fin de la consultation publique [Lire la suite]
NEWSLETTER

NEWSLETTER
Droit à et sur l'image - Droit d'auteur - Diversité culturelle & Internet
EN BREF OCTOBRE 2015 : Protection des données à caractère personnel
 Réforme du cadre juridique [...]
 SAFE HARBOR : Invalidé [...]
 Projet de Directive sur la [...]
  Etablissement stable et ré[...]
Attention, vous devez être connecté à internet pour voir correctement cette newsletter !
DATA PROTECTION
Réforme du cadre juridique de la protection des données à caractère personnel : coopération policière et judiciaire en matière pénale


Le 9 octobre 2015, le Conseil a arrêté sa position de négociation concernant le projet de directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d enquêtes et de poursuites en la matière ou d exécution de sanctions pénales ou de protection contre les menaces pour la sécurité publique et de prévention de telles menaces (1) remplaçant la décision-cadre 2008/977/JAI (2).

IL n empêche pas les États membres de prévoir des garanties plus strictes pour la protection des droits et des libertés des personnes concernées à l égard du traitement des données à caractère personnel par les autorités compétentes.

Il vise à garantir un niveau élevé de protection des données à caractère personnel et à faciliter l échange de ces données entre les autorités répressives au sein de l Union européenne. La nouvelle directive s appliquerait aussi bien au traitement transfrontière des données à caractère personnel qu au traitement de ce type de données par les autorités policières et judiciaires au niveau strictement national. Cette nouvelle directive donnerait également le droit aux personnes concernées d obtenir une compensation si elles subissent un préjudice du fait d un traitement ne respectant pas les règles.

Cet accord permet à la présidence luxembourgeoise d entamer les discussions avec le Parlement européen également sur ce volet du paquet législatif relatif à la protection des données. L autre volet, à savoir le règlement général sur la protection des données, fait déjà l objet de négociations avec le Parlement qui ont commencé à la suite de l adoption, le 15 juin 2015, de la position du Conseil.

Des contacts ont déjà été pris avec le Parlement européen en vue de l organisation d un premier trilogue, le but étant de parvenir à un accord sur l ensemble du paquet législatif relatif à la protection des données d ici la fin de l année.

(1) Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d enquêtes et de poursuites en la matière ou d exécution de sanctions pénales, et à la libre circulation de ces données
(2) La décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale : JO L 350 du 30.12.2008, p. 60.


U.E
Projet de Directive sur la protection des données en matière de pénale et judiciaire entérinée par les ministres de la Justice


Le 9 octobre 2015, les ministres réunis au Conseil Justice ont scellé l’orientation générale du Conseil concernant le projet de la directive sur la protection des données en matière pénale et judiciaire.

La Directive sur la protection des données en matière pénale et judiciaire est un des éléments clés qui permettra d améliorer la lutte contre le terrorisme comme annoncé par la Commission dans son Agenda sur la sécurité. Tout traitement des données par les autorités judiciaires au sein de l Union européenne devra respecter les principes de nécessité, proportionnalité et légalité. La supervision de ces démarches reviendra aux autorités de protection des données nationales et indépendantes et des recours juridictionnels devront être proposés. Le transfert de données personnelles par les autorités pénales et judiciaires en dehors de l UE, seront régis par des principes généraux et des règles claires afin de garantir que ceux-ci se déroulent avec un niveau suffisant de protection des données et permettront aux autorités policières et judiciaires de coopérer plus efficacement, grâce à une plus grande confiance et sécurité juridique. Les nouvelles règles établies dans la Directive prennent en compte les besoins spécifiques des autorités pénales et judiciaires et respectent la diversité des traditions juridiques des Etats-membres.

Les trilogues entre la Commission, le Parlement européen et le Conseil de l UE sur la directive commenceront dès octobre. Les trois institutions se sont accordées sur une feuille de route pour mener à bien la réforme pour fin 2015


C.J.U.E
Etablissement stable et réglementation de la protection des données personnelles

CJUE : arrêt du 1 octobre 2015, Weltimmo, affaire C-230/14

La Cour de Justice de l’Union Européenne (CJUE) confirme sa jurisprudence Google Spain, en se fondant sur une interprétation souple de l’établissement stable, pour déterminer le droit applicable au traitement des données personnelles, dans le cas d’un site ciblant un public d’un Etat différent de l’Etat d’immatriculation du siège social.

Dans son arrêt du 1er octobre 2015, la Cour a rappelé que la notion d’établissement stable sur le territoire d’un Etat membre au sens de l’article 4, paragraphe 1 sous a) de la directive 95/46/CE sur la protection des données à caractère personnelles(1) , s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable, peu importe la forme juridique choisie et peu importe que la société soit immatriculée dans un autre Etat membre.


En l’espèce, une société enregistrée en Slovaquie, exploitait un site Internet d’annonces immobilières concernant des biens situés en Hongrie. Le site était rédigé en langue hongroise et dont les annonces devenaient payantes au terme d’un délai d’un mois. Au vu de ces éléments, la CJUE a constaté que cette société se livrait à une activité réelle et effective en Hongrie. En outre, un représentant, qui représentait la société au cours des procédures administrative et judiciaire, était domicilié dans cet Etat, il avait ouvert un compte en banque destiné au recouvrement des créances et utilisait une boîte aux lettres pour la gestion des affaires courantes. Dès lors, la Cour a estimé que ces éléments, sous réserve d’être vérifiés par la juridiction de renvoi, étaient susceptibles d’établir l’existence d’un « établissement » au sens de l’article 4, paragraphe 1, sous a) de la directive 1995/46/CE. Conformément à sa jurisprudence Google Spain et Google (C-131/12) la Cour a jugé que le traitement de données personnelles s’effectuait non pas «par» l’établissement concerné lui-même, mais uniquement «dans le cadre des activités» de celui-ci. Le traitement en cause au principal consistait, notamment, dans la publication, sur les sites Internet d’annonces immobilières, de données à caractère personnel relatives aux propriétaires de ces biens ainsi que, le cas échéant, dans l’utilisation de ces données pour les besoins de la facturation des annonces au terme d’un délai d’un mois. Il en résultait que le traitement s’effectuait dans le cadre des activités de l’établissement. En conséquence, la Cour en a déduit que le droit applicable au responsable du traitement des données personnelles était le droit de l’Etat de l’activité réelle et effective exercée au moyen d’une installation stable.

Par ailleurs, la Cour a précisé les pouvoirs de l’autorité de contrôle de l’Etat du site d’exploitation. Elle a confirmé que les annonceurs pouvaient saisir l’autorité de l’Etat d’exploitation du site. Conformément aux dispositions de l’article 28, paragraphe 3 de la directive, cette dernière a la compétence pour, notamment, exercer sur son territoire des pouvoirs d’investigation et d’intervention et ce, indépendamment du droit national applicable au traitement en cause. De plus, en vertu de l’obligation de coopération, elle pouvait être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre. Toutefois, les pouvoirs de chaque autorité de contrôle sont limités territorialement à l’Etat dont elle relève (article 28 paragraphe 6). Dès lors, si le traitement des données relevait du droit d’un autre État membre, l’autorité hongroise ne pouvait pas imposer une amende ou exercer tout autre pouvoir de sanction que le droit hongrois lui a confié.


Safe Harbor invalidé par la CJUE : zone de turbulence pour la protection des données personnelles
SAFE HARBOR : Invalidé

Et maintenant ! Comment les entreprises qui opéraient sous le régime du Safe Harbor peuvent-elles procéder pour transférer les données vers les Etats-Unis

Dans son arrêt du 6 octobre 2015, C-362/14, la CJUE invalide la décision 2000/250 de la Commission européenne relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (Safe harbor) et par les questions souvent posées y afférentes (FAQ), publiés par le ministère du commerce des États-Unis d’Amérique (1). Dans cet accord autorisant le transfert des données personnelles des européens vers les Etats-Unis, la Cour considère que la législation américaine n’assure pas un niveau de « protection adéquate » aux données à caractère personnel, transférées. En outre, elle estime que la Commission a outrepassé ses compétences en restreignant les pouvoirs des autorités de contrôle des Etats membres.

En l’espèce, Max Schrems, utilisateur de Facebook, porte plainte devant l’autorité de protection des données personnelles irlandaise, état du lieu du siège social européen de l’entreprise. Il estime que les données personnelles collectées et traitées par Facebook ne sont pas protégées et exposées aux services de renseignement américains en raison du Safe Harbour. Cet accord était censé garantir que les données des européens étaient protégées à un niveau adéquat lorsqu elles étaient stockées outre-Atlantique, conformément à la directive 95/46/CE sur le traitement des données à caractère personnel (2), qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Toujours selon la directive, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. Considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États-Unis (en particulier la National Security Agency ou « NSA »), le requérant estimait que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays.

L’autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 2000, la Commission a considéré que, dans le cadre du régime dit de la « sphère de sécurité (Safe Harbor), les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées. Saisie de l’affaire, la High Court of Ireland (Haute Cour de justice irlandaise) a posé une question préjudicielle à la CJUE pour savoir si cette décision de la Commission a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.

La Cour rappelle que la Commission était tenue de constater que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte.

En l’absence de définition, la Cour précise que l’expression «niveau de protection adéquat» doit être comprise comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte. La Cour relève que la Commission n’a pas opéré un tel constat, et qu’elle s’est bornée à examiner le régime de la sphère de sécurité. Or, sans qu’il y ait besoin, pour la Cour, de vérifier si ce régime assure un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union, la Cour relève que celui-ci est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises. En outre, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences. Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences.
Une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée, selon la Cour, comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé.

La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission [Communication de la Commission au Parlement européen et au Conseil, intitulée « Rétablir la confiance dans les flux des données entre l’Union européenne et les États-Unis d’Amérique » (COM(2013) 846 final, 27 novembre 2013) et communication de la Commission au Parlement et au Conseil relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l’Union et des entreprises établies sur son territoire (COM(2013) 847 final, 27 novembre 2013)], d’où il ressort notamment que les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. En effet, dans sa communication, la Commission a fait état de ce que «toutes les entreprises participant au programme PRISM [programme de collecte de renseignements à grande échelle], qui permettent aux autorités américaines d’avoir accès à des données stockées et traitées aux États-Unis semblent être certifiées dans le cadre de la sphère de sécurité» et que celle-ci «est donc devenue l’une des voies par lesquelles les autorités américaines du renseignement ont accès à la collecte des données à caractère personnel initialement traitées dans l’[Union]». À cet égard, elle a observé, «qu’un certain nombre de bases juridiques prévues par la législation américaine permettent la collecte et le traitement à grande échelle des données à caractère personnel stockées ou traitées par des sociétés établies aux États-Unis» et que «[c]es programmes étant à grande échelle, il est possible que les données transférées dans le cadre de la sphère de sécurité soient accessibles aux autorités américaines et traitées par celles-ci au-delà de ce qui est strictement nécessaire et proportionné à la protection de la sécurité nationale, comme le prévoit l’exception énoncée dans la décision [2000/520]».
Enfin, la Cour constate que la décision de la Commission du 26 juillet 2000 prive les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. Ainsi, même en présence d’une décision de la Commission, les autorités nationales de contrôle, saisies d’une demande, doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive. La Cour considère que la Commission n’avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle.

Les conséquences de l’invalidité du « Safe Harbour »

Les solutions alternatives au cadre juridique simplifié : les risques de multiplication de contrats spécifiques

Il en résulte que Facebook peut continuer à fonctionner comme il le faisait jusqu’à aujourd’hui, mais ne peut plus s’abriter, en cas de procédure, derrière le fait qu’elle fait partie du Safe Harbor et que ses flux de données entre l’U.E et l’E.U sont présumés légaux. Facebook affirme en fait ne pas s’appuyer uniquement sur le Safe Harbor, mais « sur d’autres méthodes recommandées par l’Union européenne pour transférer légalement des données de l’Europe vers les Etats-Unis ». Il existe d’autres solutions alternatives, comme les « clauses contractuelles type » ou les « règles internes d’entreprise » (dans le cas de transfert de données entre filiales), le Safe Harbor étant le cadre juridique simplifié et « par défaut ».

Facebook, Google, Apple Amazon ne sont pas les seuls à stocker des données personnelles aux États-Unis. Il y a plusieurs milliers de sociétés qui participent au «programme» Safe harbor, notamment des multinationales dont les ressources humaines sont implantées aux États-Unis. Environ 4000 entreprises bénéficiaient du régime du Safe Harbor accordé aux Etats-Unis. Les solutions alternatives dont les clauses contractuelles ou de règles internes d’entreprises se révèlent coûteuses pour les entreprises.
La CNIL va prochainement rencontrer ses homologues au sein du G29 afin de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ».


Mentions légales | Réalisation site : Opium Bleu