Dans un arrêt, la courCJUE, 6 oct. 2015, n° 117/15, Maximillian Schrems c/ Data protection commissioner. basée à Luxembourg donne raison à l'autrichien Max Schrems, qui contestait une décision de la Commission européenneDécision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions soulevées posées y afférentes, publiées par le ministère du commerce des États-Unis d'Amérique, J.O.UE 2000, L 215, p.7., datant de 2000. Cette dernière estimait que les États-Unis assuraient un « niveau de protection adéquat » aux données à caractère personnel transférées.

S'appuyant sur les révélations sur les pratiques des agences de renseignement américain, en particulier l'affaire Snowden, le juriste autrichien avait demandé aux autorités de contrôle en Irlande, où se trouve le siège européen de Facebook, de s'opposer au transfert de ses données personnelles vers les États-Unis. Sa requête avait été rejetée, les autorités irlandaises ayant considéré que les États-Unis assuraient un niveau suffisant de protection aux données transférées. Mais Max Schrems avait lancé un recours devant la justice irlandaise qui avait saisi la CJUE.

Les autorités irlandaises avaient invoqué dans leur rejet le régime juridique dit de la « sphère de sécurité », plus connu sous le nom anglais de « Safe Harbour », mis en place par les autorités américaines pour leurs entreprises transférant des données depuis l'Europe. Dans une décision⁽²⁾ datant de 2000, la Commission européenne avait considéré que ce cadre protégeait suffisamment les citoyens de l'UE.

« L'existence d'une décision de la Commission constatant qu'un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle », a jugé la Cour de justice. La Commission « n'avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle », a-t-elle jugé, déclarant la décision« invalide ».

Cette décision constitue « un signal fort pour la protection des droits fondamentaux en Europe », a souligné le ministre allemand de la justice Heiko Maas qui a insisté sur le fait que « ceux qui offrent des produits ou des services dans l'Union européenne doivent faire attention au droit européen de protection des données et ce, peu importe où se trouve le serveur ».

De son côté, Facebook Europe estime dans un communiqué qu' « il est impératif que les gouvernements de l'UE et des États-Unis assurent qu'ils continuent de fournir des méthodes fiables pour des transferts légaux de données et qu'ils résolvent toutes les questions liées à la sécurité nationale ».

Cet arrêt « confirme l'approche de la Commission » européenne qui négocie avec les Etats-Unis de nouvelles règles plus protectrices pour les Européens que le cadre actuel, a estimé Frans Timmermans, lors d'une conférence de presse au Parlement européen à Strasbourg mais « dans l'intervalle, les transferts de données entre entreprises peuvent se poursuivre sur la base d'autres mécanismes pour les transferts internationaux de données personnelles disponibles dans la législation européenne sur la protection des données », a-t-il souligné. Et en attendant la renégociation du cadre de Safe Harbour, la Commission va publier des « lignes directrices » à destination des« autorités nationales chargées de la protection des données » afin d'éviter un« patchwork avec des décisions nationales qui partiraient dans tous les sens »après cet arrêt, a annoncé M. Timmermans.