Facebook peut-il transférer les données personnelles des internautes européens vers les États-Unis ? La Cour de justice de l’Union européenne est sollicitée par les tribunaux irlandais pour vérifier la légalité du cadre utilisé par le réseau social américain.

C’est donc devant la Cour de justice de l’Union européenne que se réglera la question de l’utilisation, par Facebook, des fameuses clauses contractuelles types servant à exporter les données personnelles des internautes européens vers les États-Unis. La haute cour de justice irlandaise a rendu une décision mardi 3 octobre qui demande à la juridiction communautaire de se se pencher sur la légalité de ces transferts.

Le Privacy Shield est un dispositif de substitution qui a été mis en place après l’annulation du Safe Harbor par la Cour de justice de l’Union européenne. Ce nouveau dispositif, en place depuis l’été 2016, est jugé insuffisant par les organismes de défense de la vie privée dans la sphère numérique.

Pour la justice irlandaise, qui est compétente dans la mesure où le réseau social a son siège européen à Dublin, les dispositions récentes, notamment l’introduction du mécanisme du Privacy Shield, « n’éliminent pas les préoccupations justifiées qui sont soulevées par le régulateur irlandais à la protection des données » au sujet de «l’adéquation de la protection accordée aux personnes européennes ».

La haute cour fait référence ici aux « données personnelles [qui] font l’objet d’une ingérence injustifiée de la part des services de renseignement des États-Unis, dès lors qu’elles ont été transférées en vue d’être traitées aux États-Unis ». En Irlande, le régulateur à la protection des données remplit le même rôle que la Commission nationale de l’informatique et des libertés.

Et la haute cour d’ajouter que les Européens bénéficient d’une haute protection des données et ont aussi « droit à un niveau tout aussi élevé de protection de leurs données lorsqu’elles sortent de l’espace économique européen ».

Jusqu’à l’arrêt de la Cour de justice de l’Union européenne ayant mis fin à ce régime, Facebook se servait du Safe Harbor comme cadre légal pour transférer les données d’internautes européens vers ses centres de traitement de données aux USA, où elles font l’objet de traitements algorithmiques. Ce cadre avait été négocié dans les années 2000 entre Bruxelles et Washington. Mais dans son arrêt impliquant justement Facebook et l’autorité irlandaise, la juridiction communautaire a jugé que ce dispositif est invalide parce que les États-Unis ne protègent pas assez les données personnelles au regard des standards établis sur le Vieux Continent.

Facebook

CC Marcin Wichary

Face à cette révolution juridique, Facebook a changé son fusil d’épaule et opté pour le mécanisme des clauses contractuelles types. Avec celles-ci, c’est l’entreprise qui s’engage à respecter un certain standard de protection, réputé suffisant. Il avait été décidé par les autorités européennes de protection des données et de la vie privée — comme la Cnil en France — d’accepter de maintenir une relative validité de ces clauses pour qu’elles soient utilisables pour exporter des données vers les USA, de toute évidence pour des raisons économiques, malgré l’illégalité reconnue de ces transferts.

Il revient donc désormais à la Cour de justice de l’Union européenne de dire si oui ou non ces clauses types sont utilisables. Si elle tranche par la négative, ce qui logiquement devrait survenir si l’on observe la trajectoire favorable de la juridiction en matière de défense des droits des internautes et au regard du verdict rendu en 2015 au sujet du Safe Harbor, alors des milliers d’entreprises se retrouveraient dans l’incapacité juridique de transférer des données vers les USA. En tout cas, au moyen de ces clauses contractuelles types. Il n’est pas improbable de croire que cela porterait un coup à l’économie numérique américaine mais aussi, paradoxalement, à l’économie numérique européenne, celle-ci reposant pour partie sur les services américains.

Maximilian Schrems, un juriste autrichien, est à l’origine de la plainte en Irlande contre l’autorisation donnée à Facebook d’exporter des données en vertu du Safe Harbor. Au cœur de son argumentation, le fait que ses données sont moins protégées une fois aux   USA puisque, d’après lui, elles peuvent être exigées par les services fédéraux et les agences nationales au nom de la sécurité des États-Unis. À ses yeux, le Privacy Shield est « la même chose que le Safe Harbor avec quelques ajouts » et il « va échouer comme son prédécesseur ».

Un scénario catastrophe ? Pour Maximilian Schrems, ce n’est en tout cas pas son but. À l’AFP, l’intéressé explique ne pas chercher à « faire cesser l’ensemble des transferts de données, car 90 % d’entre eux ne posent pas de problème ». Ce qu’il s’emploie à faire, c’est de mener la vie dure aux entreprises « impliquées dans la surveillance de masse ». C’est le cas de Facebook, comme l’ont montré les documents confidentiels extraits par le lanceur d’alerte Edward Snowden quand il travaillait pour la NSA. Le régulateur irlandais à la protection des données s’est lui aussi fendu d’une réaction pour recadrer la portée du verdict de la haute cour… et se montrer rassurant.

Saluant le verdict de la haute cour, l’institution dit se féliciter de ce renvoi à la Cour de justice, ce qu’elle demandait, mais fait remarquer que cette décision « n’invalide pas les clauses contractuelles types ni le Privacy Shield ; elle n’interdit pas non plus leur utilisation continue aux fins de transfert de données vers les États-Unis ou ailleurs ». Pour le régulateur, elle invite plutôt la Cour de justice de l’Union à déterminer si la forme actuelle des clauses contractuelles types peuvent et doivent être conservées comme base pour le transfert de données personnelles vers les États-Unis, en vertu du droit de l’Union. Et le régulateur de rappeler qu’aujourd’hui, des tas d’entreprises misent sur ces clauses pour leur business.

De son côté, Facebook n’affiche pas la même sérénité. Un communiqué transmis à l’AFP déclare que la Cour de justice de l’Union doit maintenant « apprécier l’évidente robustesse des protections mises en place dans le cadre des clauses contractuelles types et de la loi américaine avant de prendre une décision qui pourrait mettre en danger les transferts de données ». Et le géant du net d’insister sur le fait que ces dispositions « sont essentielles aux entreprises de toutes tailles et leur maintien est crucial pour permettre une croissance économique sans obstacle ». Reste à savoir si l’argument économique aura sa place dans la réflexion des magistrats européens.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !