Le ministre Nicolas Schmit, en charge des relations avec le Parlement européen au cours de la Présidence luxembourgeoise du Conseil de l’UE, est intervenu le 14 octobre 2015 devant la plénière de l’assemblée réunie à Bruxelles lors d’un débat sur les conséquences de l’arrêt "Schrems" de la Cour de Justice de l’UE (CJUE), tout particulièrement sur le transfert de données entre l’UE et les Etats-Unis d’Amérique.
Pour rappel, dans ce jugement rendu le 6 octobre 2015, la Cour a en effet invalidé la décision de la Commission européenne datant de 2000 relative au régime dit de la "sphère de sécurité" ("Safe Harbour" en anglais), qui encadrait ces flux de données vers les USA. Les juges ont justifié leur décision par le fait que le droit et la pratique aux Etats-Unis donnent aux autorités un accès à grande échelle aux données personnelles des citoyens de l'UE et par l'absence de protection juridique efficace pour ces citoyens.
Il faut "analyser soigneusement" les conséquences de l’arrêt de la Cour, y compris au Conseil, dit Nicolas Schmit
Rappelant qu’il reviendrait en premier lieu à la Commission de faire part de ses intentions suite à l’annulation de sa décision, Nicolas Schmit a estimé en ouverture du débat que la question ne concernait pas uniquement la Commission, mais aussi le Conseil, les Etats membres et les citoyens. Il a reconnu dans ce contexte que le Parlement européen avait "régulièrement soulevé les carences" qui existaient en matière de flux de données au titre de Safe Harbour. "Même avant les révélations Snowden, le Parlement a en effet fait état de ses préoccupations quant au niveau de protection des données et a demandé la suspension de Safe Harbour jusqu'à ce qu'il soit remédié à ces failles", a-t-il dit.
Alors que la Cour a désormais jugé que la décision Safe Harbour "n'offrait pas une protection suffisante", Nicolas Schmit a appelé à "analyser soigneusement" les conséquences de son arrêt, y compris au Conseil. Il a précisé aux députés que la Commission avait présenté à ce sujet une première évaluation des conséquences potentielles lors de la réunion du Conseil Justice et Affaires intérieures (JAI) du 9 octobre 2015. "L'arrêt de la Cour concerne une décision de la Commission", a-t-il poursuivi, notant qu’il appartenait donc "en premier lieu à celle-ci" d’en tirer les conséquences.
Par ailleurs, a relevé le ministre, alors que l'arrêt "clarifie" les pouvoirs des autorités de contrôle européennes dans le cadre d'un transfert de données vers des pays tiers qui se fait sur base d’une décision d’adéquation, il serait important que la Commission travaille "en étroite coopération" avec ces autorités pour faire en sorte que l'arrêt "soit interprété et appliqué de manière uniforme".
Face aux députés, Nicolas Schmit a encore considéré que "dans l’immédiat, les citoyens doivent être rassurés sur le fait que leurs données sont protégées". "En outre, les entreprises ont besoin d'être informées sur les autres possibilités juridiques de transfert des données vers les Etats-Unis à la lumière de l'arrêt de la Cour", a-t-il ajouté.
A plus long terme, ce sera à la Commission de décider de ce qui devra succéder à la décision Safe Harbour, a encore indiqué le ministre, qui a jugé que la réponse à cette question devrait être apportée à travers "un dialogue étroit" avec les autorités américaines. Toute réponse devra aussi "respecter pleinement l'arrêt de la Cour" et ses principes, selon Nicolas Schmit, mais ce faisant, "la Commission pourra prendre en compte l'importance pour l'économie d'un flux régulier et légal de données entre les Etats-Unis et l’UE", a-t-il souligné.
Selon le ministre, alors que la Cour de Justice a rappelé que tout instrument de l'UE "devait respecter un niveau élevé" de protection des données personnelles et être conforme à la Charte, en particulier dans le cadre de transfert de ces données vers des pays tiers, le Conseil et le Parlement européen "doivent continuer leurs travaux sur un nouveau cadre robuste de protection des données". "Je considère qu’avec cet arrêt la finalisation de cette réforme avant la fin de l’année ne devient que plus urgente et nécessaire", a-t-il conclu son intervention.
Il ne pourra pas y avoir d’approche "business as usual", dit Věra Jourová
La commissaire européenne en charge de la Justice, des Consommateurs et de l’Egalité des genres, Věra Jourová, a indiqué que la Commission respectait la décision de la Cour et s’y conformerait, comme le doivent toutes les parties prenantes. "Safe Harbour ne pourra ainsi plus servir de base légale pour le transfert transatlantique de données", a-t-elle dit, notant qu’il ne pourrait pas y avoir d’approche "business as usual".
La commissaire a également estimé que des mesures à court terme étaient nécessaires dans ce contexte, tant pour rassurer les citoyens que pour orienter les entreprises actives dans ce domaine. A cet égard, la Commission travaille de manière étroite avec le Contrôleur européen de la protection des données au sein du groupe "Article 29", qui rassemble les contrôleur nationaux de protection des données et elle "dialogue avec les entreprises". Il s’agit de définir des orientations claires pour éviter la fragmentation du marché intérieur, a-t-elle dit.
Pour ce qui est de la partie américaine, la commissaire a jugé que les USA devaient "répondre à ces exigences dans leur ordre légal interne ainsi que dans leur pratique", Věra Jourová notant à cet égard son optimisme suite aux premières discussions avec les responsables américains. "Je suis encouragée par des mesures de réformes, comme le "US Safe Freedom Act" et le projet de loi sur le recours judiciaire en discussion".
La commissaire a encore souligné qu’il s’agissait d’être très clair avec les partenaires américains, les Européens ayant besoin de garanties quant au respect des règles de protection des données lorsqu’elles sont transférées aux USA. L’objectif est d’obtenir "un engagement robuste" du partenaire américain que les données des Européens seront hautement protégées, au moins au niveau auquel elles le sont dans l’UE. Elle a annoncé qu’elle renforcerait les discussions avec les USA et qu’elle tiendrait les parlementaires régulièrement au courant de ces échanges.
Le débat
Au cours du débat qui a suivi, les principaux groupes politiques se sont félicité de l’arrêt rendu par la Cour et ont souligné la nécessité de mettre en place un nouveau cadre législatif solide en matière de protection des données. Beaucoup ont mis en avant l’insécurité juridique née de l’arrêt, qui risquerait de nuire aux entreprises européennes concernées par le transfert transatlantique de données.
Insistant sur l’importance de la protection de la sphère privée des citoyens européens, plusieurs ont appelé le gouvernement américain à revoir sa législation relative à la protection de la vie privée des consommateurs, et tous ont demandé à la Commission européenne d’agir rapidement.