Droit du travail et protection des données : conséquences de l’arrêt Schrems ?

IMG_3369 (2)IMG_4725

L’arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015 dans l’affaire C-362/14 Maximillian Schrems c/ Data Protection Commissioner a suscité beaucoup d’intérêt.

Rappelons que la Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit notamment que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.

Par une Décision 2000/520/CE de la Commission du 26 juillet 2000 en application de la Directive susmentionnée, il a été dit que les USA assurent un niveau adéquat de protection aux données à caractère personnel transférées (régime « Safe Harbor »).

Il s’agit donc d’une sorte de système « par défaut » : en l’absence, par exemple, de dispositions contractuelles, on considérera que le transfert de données de l’Union vers les USA se fait vers un pays où, de manière générale, le niveau de protection doit être considéré comme « adéquat ».

L’arrêt Schrems, dans des considérants sévères, écrit notamment que ce régime est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises. Par ailleurs les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, ce qui entraîne que les entreprises américaines sont tenues d’écarter les règles de protection prévues lorsqu’elles entrent en conflit avec de telles exigences. Ces faits rendent possibles des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes

Les autorités des États-Unis peuvent accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale.

La Cour relève également l’inexistence de voies de droit administratives ou judiciaires permettant d’accéder aux données et d’obtenir leur rectification ou leur suppression.

La Cour souligne enfin qu’une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée.

En conséquence, la Cour arrête que la décision de la Commission du 26 juillet 2000 doit être considérée comme invalide.

Appréciation :

Il est encore difficile, à ce stade, d’estimer les conséquences de cette décision.

Il faut toutefois relever qu’elle ne s’adresse pas qu’aux acteurs de l’économie numérique, mais à beaucoup d’autres aussi.

Il est ainsi fréquent que, dans le cadre des rapports de travail, les données de collaborateurs soient exportées pour être traitées dans une autre société à l’étranger, externalisées, etc.

Or la Suisse connaît un régime analogue au « Safe harbor » de l’UE.

Les critiques de l’arrêt Schrems pourraient donc tout à fait trouver à s’appliquer en cas de contestation, en Suisse, d’un transfert de données vers les USA, sous l’angle de l’art. 6 LPD.

En attendant d’y voir plus clair, les employeurs qui pratiquent un tel transfert de données basé uniquement sur le régime « Safe Harbor » seraient probablement bien inspirés d’envisager de « contractualiser » ce transfert et ses modalités.

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection de la personnalité, Protection des données, est tagué , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s