La lutte pour la protection des données personnelles a gagné une belle bataille. La Cour de Justice européenne vient en effet, une quinzaine de jours après l'avis de son avocat général Yves Bot, d'invalider la décision de la Commission européenne du 26 juillet 2000 - communément appelée Safe Harbor - relative à la capacité des Etats-Unis à assurer un niveau adéquat de protection aux données à caractère personnel transférées depuis un pays de l'union vers son territoire. Dans un arrêt rendu public ce matin, la Cour de Justice indique en effet que « le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences. »

De même, la Cour relève « qu’une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l’existence d’un État de droit. »

Un risque sans précédent en termes de jurisprudence

Pour l'instant, les conséquences de l'invalidation du Safe Harbor sont limitées, et ne portent que sur une affaire de défaut de protection sur des données personnelles d'un citoyen autrichien, Maximillian Schrems, utilisateur de Facebook depuis 2008, qui a été portée près la Haute Cour de justice irlandaise. « Cet arrêt a pour conséquence que l’autorité irlandaise de contrôle est tenue d’examiner la plainte de M. Schrems avec toute la diligence requise et qu’il lui appartient, au terme de son enquête, de décider s’il convient, en vertu de la directive, de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles », indique la Cour de Justice européenne. Pour autant, si la suspension du transfert des données de ce ressortissant européen vers les serveurs de Facebook aux Etats-Unis est décidée, cela pourrait certainement créer un appel d'air sans précédent en termes de jurisprudence.