Les autorités européennes de protection des données, réunies au sein du groupe de travail « article 29 » sur la protection des données, prennent note de la décision clé de la Cour de Justice de l’Union européenne (CJUE) du 6 octobre 2015 dans son arrêt Maximilian Schrems c. Data Protection Commissioner, et du fait que la décision 2000/250 de la Commission européenne (appelée « décision Safe Harbor ») est invalide.
Le groupe de travail accueille avec satisfaction le fait que la décision de la Cour réaffirme que les droits relatifs à la protection des données personnelles constituent une partie intégrale du régime des droits fondamentaux de l’Union européenne.
Les autorités de protection des données européennes reconnaissent également que la Cour a conclu que les pouvoirs des autorités de protection des données ne se trouvent pas réduits par l’existence de la décision « safe harbor » de la Commission européenne. En conséquence, les autorités de protection des données, habilitées comme décrit dans l’article 28 de la directive 95/46/CE, doivent toujours avoir la possibilité d’enquêter, en complète indépendance, au sujet d’une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat des données à caractère personnelles transférées.
Depuis plusieurs années, le groupe de travail a étudié l’impact d’une surveillance de masse sur les transferts internationaux de données, et a à plusieurs occasions présenté ses observations à ce sujet.
Le jugement de la Cour de ce jour confirme qu’en raison en particulier de l’existence d’une surveillance de masse et de l’absence de possibilité pour un individu de pouvoir exercer un recours judiciaire effectif afin de pouvoir avoir accès à ses données et obtenir rectification et suppression de ses données, de sérieuses questions existent en ce qui concerne la continuité du niveau de protection des données personnelles lorsque ces données sont transférées vers les Etats-Unis.
Le groupe de travail est conscient que cette décision, prise dans un contexte de négociation du nouveau règlement européen en matière de protection des données et des discussions sur les « safe harbor » entre la Commission européenne et les autorités américaines, présente des conséquences majeures pour l’ensemble des parties concernées.
Pour ces raisons, en vue de fournir une analyse coordonnée de la décision de la Cour et afin de déterminer les conséquences de cette décision sur les transferts de données, une première série de discussions entre experts est organisée cette semaine à Bruxelles. De plus, une réunion plénière extraordinaire du groupe de travail sera prochainement programmée ».