Après son arrêt Google, la Cour de justice de l’UE prouve une nouvelle fois son rôle majeur dans la protection des données personnelles. Au travers d’une affaire qui porte au départ sur les transferts de données d’utilisateurs européens de Facebook vers ses serveurs aux Etats-Unis, la CJUE a déclaré invalide la décision du Safe Harbor, dans un arrêt du 6 octobre 2015. Cette décision de la Commission européenne du 26 juillet 2000 autorise le transfert transatlantique des données personnelles, en application de principes adoptés en adéquation avec la directive européenne de 1995. Or, selon la Cour, cette décision ne satisfait pas aux exigences de la directive européenne qui « consacre la primauté des «exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des États-Unis» sur les principes de la sphère de sécurité, primauté en vertu de laquelle les organisations américaines autocertifiées recevant des données à caractère personnel depuis l’Union sont tenues d’écarter, sans limitation, ces principes lorsque ces derniers entrent en conflit avec ces exigences et s’avèrent donc incompatibles avec celles ci. ». Cette dérogation rend en effet possible toutes les ingérences possibles contre lesquelles il n’y a pas de protection juridique envisagées. Les autorités américaines peuvent donc accéder à toutes les données transférées et les traiter comme elles le désirent, d’une manière incompatible avec les finalités de leur transfert. « Ainsi, n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données ». Il en va de même d’une réglementation qui ne prévoit pas de voie de recours pour le justiciable en ce qui concerne ses droits.

La Cour a également considéré que le fait que la « Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, telle que modifiée, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat. »
Suite aux révélations d’Edward Snowden en 2013 sur les activités des services de renseignement américains, Maximillian Schrems, citoyen autrichien utilisateur de Facebook depuis 2008, a porté plainte devant l’autorité de contrôle irlandaise lui demandant d’interdire le transfert transatlantique des données, faisant valoir que le droit et les pratiques des États-Unis n’offrent aucune protection réelle des données conservées outre-Atlantique contre la surveillance de l’État américain. En effet, les données des utilisateurs de Facebook dont les siennes sont transférées, en tout ou partie, vers les serveurs situés aux Etats-Unis, à partir de la filiale irlandaise du site, entité avec laquelle les utilisateurs européens contractent.
La Cnil irlandaise a rejeté sa plainte, arguant de l’existence de la décision de la Commission européenne du Safe Harbor. Maximillian Schrems a alors saisi la high court of Ireland qui a posé à la Cour de justice de l’Union européenne une question préjudicielle visant à savoir si la décision de la Commission européenne sur le Safe Harbor, qui autorise le transfert de données, a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte et de suspendre, le cas échéant, la transmission de données contestée. Dans ses conclusions rendues publiques le 23 septembre, l’avocat général de la CJUE, Yves Bot, avait répondu par la négative. D’abord, la Commission ne dispose pas, selon lui, de la compétence de restreindre les pouvoirs de l’autorité de contrôle. Par ailleurs, la décision du Safe Harbor n’est pas valide en raison de l’absence de protection juridictionnelle effective des citoyens européens, de garanties propres à éviter un accès massif et généralisé aux données transférées, et de l’impossible contrôle des autorités nationales sur des violations aux Etats-Unis des principes du droit européen par des agences de sécurité américaines.

Rappelons que l’accord du Safe Harbor conclu entre la Commission européenne et les Etats-Unis, et qui s’est traduit par la décision de la Commission, permet aux sociétés américaines de procéder à des flux transfrontières de données entre les deux continents dès l’instant qu’elles adhèrent aux principes de cet accord, par auto-certification, auprès du département du Commerce américain. La décision du Safe Harbor est contestée depuis de nombreuses années notamment du fait de l’impossible évaluation du respect des principes par la Commission européenne. Le 12 mars 2014, le Parlement européen avait voté une résolution appelant à la suspension immédiate du Safe Habor.