B

L’APPORT DE LA COUR DE JUSTICE DE L’UNION EUROPÉENNE AU RÉGIME EUROPÉEN DE PROTECTION DES DONNÉES PERSONNELLES

< Rapport d'information >

La Cour de justice de l’Union européenne (CJUE) a significativement contribué à préciser la définition du régime de protection des données personnelles, dans un sens particulièrement favorable aux droits des personnes.

Par sa décision du 13 mai 2014, _Google c/Espagne (_17 ) , la Cour a considéré que l’exploitant d’un moteur de recherche sur internet pouvait être tenu de supprimer des listes de résultats de recherche ceux permettant de relier le nom d’une personne à des pages web, lorsque celles-ci sont porteuses d’une violation des données personnelles de l’individu. La Cour a ainsi consacré un droit au « déréférencement » (18).

Par ailleurs, dans une décision du 8 avril 2014 (19), la Cour de justice a invalidé la directive n° 2006/24/CE relative à la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication. Cette directive, qui modifiait la directive 2002/58/CE, avait fait l’objet de réserves sérieuses exprimées par le G29 ( 20 ). La Cour a invalidé la directive au motif qu’elle conduisait à une ingérence disproportionnée dans les droits fondamentaux des individus en matière de données personnelles.

Ladite directive autorisait en effet une conservation des données personnelles, dérogatoire au régime de protection des données déterminé par les directives n° 95/46 et n° 2002/58/CE justifiée, selon la Commission, par la lutte contre la criminalité mais invalide au regard de la Charte des droits fondamentaux de l’Union Européenne, selon la Cour.

Enfin, dans un arrêt du 6 octobre 2015, dit Schrems , la Cour de justice a invalidé la décision n° 2000/520/CE de la Commission constatant que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées et permettait l’application de l’accord conclu entre les États-Unis et l’Union européenne appelé « Sphère de Sécurité » (« Safe Harbor »). Cette décision de la Commission, qui rendait possible le transfert de données personnelles entre entreprises de l’Union européenne et entreprises américaines, a été invalidée par la Cour au motif que ce pays ne présentait pas des garanties suffisantes en matière de protection des données personnelles (21).

L’accord sur la Sphère de Sécurité posait un ensemble de principes de protection des données personnelles, auquel les entreprises établies aux États-Unis pouvaient volontairement adhérer afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union Européenne. La Cour de justice a estimé que ce dispositif, qui visait à compenser l’insuffisance de la législation américaine en matière de protection des données personnelles par rapport à la législation européenne, ne présentait pas des garanties suffisantes du fait des ingérences possibles des autorités publiques américaines dans les données personnelles ainsi transmises (22) et qu’il violait les droits garantis par la Charte européenne des droits fondamentaux.

À la suite de l’arrêt Schrems , la Commission a conclu en février 2016 un nouvel accord avec les États-Unis sur le cadre des transferts transatlantiques de données, le « bouclier vie privée Union européenne-États-Unis ». (23)

< Rapport d'information >