Facebook sous le feu d’une enquête sur le transfert des données vers les USA

La commission nationale de protection des données irlandaise va enquêter sur l'envoi de ces données vers des serveurs américains. [Mike Mozart/Flickr]

Une commission irlandaise va plancher sur une éventuelle suspension du transfert aux États-Unis des données personnelles des utilisateurs européens de Facebook.

La Haute Cour de justice d’Irlande a ordonné mardi 20 octobre à la Commission nationale de protection des données (DPC) d’enquêter sur l’envoi de ces données vers des serveurs américains, après l’invalidation par la justice européenne de ces transferts transatlantiques il y a deux semaines.

>>Lire : La Cour européenne condamne le transfert de données personnelles aux États-Unis

Cette décision oblige la DPC à se pencher sur une plainte déposée par un juriste autrichien, Max Schrems, selon qui les États-Unis n’offrent pas de garanties suffisantes de respect de la vie privée. L’Irlande est concernée en premier lieu, car c’est de son territoire qu’une filiale de l’américain Facebook transfère les données personnelles de ses 300 millions d’abonnés européens vers les États-Unis.

La DPC avait refusé d’enquêter à ce sujet il y a deux ans, soulignant que les autorités européennes jugeaient suffisantes les garanties données par les États-Unis en matière de protection. Mais la décision du 6 octobre de la Cour de Justice de l’Union européenne (CJUE) a bouleversé ce cadre juridique en qualifiant d’« invalide » le régime qui encadre depuis 15 ans ces transferts de données à des fins commerciales, connu sous le nom de « Safe Harbour ».

>> Lire : Les divergences persistent sur la protection des données entre l’UE et les États-Unis

Sur cette base, la Haute Cour irlandaise a statué mardi que la commissaire chargée de la DPC, Helen Dixon, avait « l’obligation d’enquêter » sur la plainte de M. Schrems. Mme Dixon a expliqué que ses services allaient donc « désormais travailler sur le fond de la plainte », motivée par les révélations sur les pratiques du renseignement américain, en particulier après l’affaire Snowden.

La Silicon Valley concernée

Dans un communiqué transmis à l’AFP, Facebook a souligné « ne jamais avoir été partie prenante d’un programme visant à donner un accès à nos serveurs aux autorités américaines » et être prêt à répondre à toutes les sollicitations de la DPC.

Interrogé après la décision judiciaire irlandaise, M. Schrems a souligné que la question était « maintenant de savoir si la DPC va faire son travail », ajoutant qu’il s’attendait « à une longue enquête en profondeur et à de longs débats avec Facebook ».

In fine, la capacité du géant américain des réseaux sociaux de continuer à transférer ou non les données de ses utilisateurs de l’autre côté de l’Océan Atlantique dépendra de la décision de cette commission d’ampleur modeste, basée dans le bourg rural de Portarlington, à 90 kilomètres à l’ouest de Dublin, dans des bureaux anonymes situés au-dessus d’une supérette.

>>Lire : Les Cnil européennes se penchent sur les pratiques de Facebook

La décision de la Haute cour irlandaise n’en constitue pas moins « une étape importante sur le plan national, mais aussi international », a assuré à l’AFP Simon McGarr, avocat de l’association de défense des droits des citoyens Digital Rights Ireland.

De nombreux autres géants de la Silicon Valley comme Google, Apple et Microsoft ont en effet leur siège européen en Irlande et la compétence de la DPC s’applique à eux comme à Facebook.

« La commissaire à la protection des données a reconnu aujourd’hui avoir l’obligation d’enquêter sur la plainte de M. Schrems mais aussi sur n’importe quelle autre plainte » déposée par un Européen à propos du transfert de ses données, a souligné M. McGarr.

Ces données englobent toutes les informations permettant d’identifier un individu, de manière directe (nom, prénom, photo ou encore empreinte) ou indirecte (numéro de sécurité sociale ou même numéro de client par exemple).

>> Lire : Le Conseil approuve un renforcement de la protection des données

La Commission européenne a promis de publier rapidement des « lignes directrices claires » pour éviter un « patchwork » de décisions nationales à ce sujet, après la décision de la CJUE du début octobre. Depuis l’affaire Snowden, elle négocie en outre avec les États-Unis un meilleur cadre juridique.

Contexte

es règlementations européennes sur la protection des données ont été adoptées en 1995, alors qu’Internet n’en était encore qu’à ses balbutiements.

En janvier 2012, la Commission européenne a publié un vaste paquet législatif visant à remplacer les règles existantes et à assurer une meilleure protection des données personnelles à travers l’Union européenne.

Ce paquet comprend deux propositions législatives : un règlement général sur la protection des données (directement applicable dans tous les États membres) et une directive spécifique sur la protection des données dans les domaines de la police et de la justice (à transposer dans le droit national).

Le débat sur la protection des données personnelles a pris un nouveau tournant suite aux révélations concernant la surveillance et les écoutes américaines.

Le « lanceur d’alerte » Ed Snowden a révélé la semaine dernière que la NSA disposait d’une autorité secrète à grande échelle pour espionner les courriels et les communications sur Internet en utilisant un programme d’extraction de données appelé PRISM.

Les responsables politiques européens ont vivement réagi à ces nouvelles et ont appelé à des mesures plus strictes pour garantir la sauvegarde de la vie privée.