Par son arrêt C 362/14 du 6 octobre 2015, La Cour de Justice de l'Union Européenne (CJUE) a invalidé la décision dite « Safe Harbor » (Sphère de sécurité) de la Commission européenne 2000/520/CE du 26 juillet 2000 qui autorisait le transfert transatlantique des données personnelles.
L'accord « Safe Harbor » de la Commission européenne était pris sur le fondement de la directive 95/46/CE. Au sens de cette décision, les sociétés américaines peuvent opérer des flux transfrontières de données avec l'Europe. Ainsi, les données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l'Union européenne sont transférées par les filiales nationales de Facebook.
Cet accord était très controversé, notamment après les révélations d'Edward Snowden concernant les programmes de surveillance de masse de la NSA, en 2013.
Dans cette lignée, Maximillian Schrems, ressortissant autrichien, et utilisateur de Facebook depuis 2008, a déposé plusieurs plaintes contre Facebook.
Le 25 juin 2013, il porte plainte devant l'autorité de contrôle irlandaise (équivalent de la CNIL) afin de faire interdire le transfert de ses données à caractère personnel vers les États-Unis. Selon lui, le droit et les pratiques des États-Unis ne permettent pas de protection des données qui y sont conservées contre la surveillance américaine.
L'autorité de contrôle a refusé la demande de M. Schrems sur le fondement de la décision de la Commission européenne « Safe Harbor » de 2000. Le requérant saisit alors la High Court (Haute Cour de Justice) irlandaise.
La Haute Cour renvoie des questions préjudicielles à la CJUE, afin de savoir, en substance, si une autorité de contrôle pouvait effectuer un contrôle du niveau de protection ou si elle était liée par la décision de la Commission européenne de 2000.
Au sens de la CJUE, les décisions prises sur le fondement de la directive de 1995, telle que la décision « Safe Harbor », « ne [font] pas obstacle à ce qu'une autorité de contrôle d'un État membre (
) examine la demande d'une personne relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n'assurent pas un niveau de protection adéquat ».
C'est-à-dire que le respect des droits et libertés individuelles, en l'occurrence en matière de données personnelles, peut être contrôlé régulièrement par les autorités de contrôle étatiques. Et ce, même si la Commission européenne a considéré au préalable que le niveau de protection était suffisant.
Ainsi, la Cour de justice de l'UE autorise les autorités de contrôle nationales à vérifier que les exigences en matière de protection des données, issues de la directive de 1995, sont réellement respectées.
Elle invalide par conséquent la décision « Safe Harbor » qui ne permettait pas une protection suffisante des résidents européens en matière de données à caractère personnel.
La CJUE offre, par cette décision, la possibilité aux ressortissants européens d'exercer des voies de recours effectives leur permettant de protéger leurs données personnelles.
Enfin, Par cette décision, la CJUE réaffirme sa position adoptée dans son arrêt Google Spain, C-131/12 du 13 mai 2014 en faveur de la protection des données personnelles.