Un tribunal autrichien renvoie la plainte de Max Schrems contre Facebook à la Cour de justice de l’UE

Si la Cour de l’UE se prononce en faveur de M. Schrems, Facebook pourrait faire face à des millions de poursuites de la part d’utilisateurs qui pourraient demander des dommages et intérêts. [NICOLAS BOUVY]

La Cour suprême d’Autriche a demandé à la Cour de justice de l’Union européenne des éclaircissements sur la légalité du traitement des données personnelles par Facebook, après avoir été saisie par le militant de la protection des données Max Schrems. La Cour de Luxembourg va maintenant décider si le géant américain a respecté le régime de protection des données de l’UE depuis son entrée en vigueur en 2018.

Si la Cour de l’UE se prononce en faveur de M. Schrems, Facebook pourrait faire face à des millions de poursuites de la part d’utilisateurs qui pourraient demander des dommages et intérêts.

« Presque toutes les utilisations de données avec lesquelles Facebook réalise des profits dans l’UE sont basées sur ce contournement. Si Facebook perd devant la CJUE, il devra non seulement cesser d’utiliser les données à mauvais escient et supprimer les données collectées illégalement, mais aussi payer des dommages et intérêts à des millions d’utilisateurs. Nous sommes donc très heureux de ce renvoi », a déclaré M. Schrems dans un communiqué mardi (20 juillet).

Il s’agit de la troisième affaire contre Facebook que M. Schrems a portée devant les juridictions de l’UE. Les deux autres portaient sur la conformité de l’accord de transfert de données entre l’UE et les États-Unis avec les règles européennes de protection des données. En 2015, la CJUE a déclaré illégal l’accord de transfert Safe Harbour, puis en juillet 2020, elle a jugé que l’accord Privacy Shield n’était pas compatible avec le règlement général sur la protection des données (RGPD).

Traitement des données personnelles

La Cour suprême d’Autriche a exprimé des doutes, notamment en ce qui concerne la base juridique utilisée par Facebook pour traiter les données personnelles.

Jusqu’à l’entrée en vigueur du RGPD, Facebook avait fait valoir que les utilisateurs lui avaient donné leur consentement pour traiter leurs données.

Mais avec le renforcement des exigences en matière de consentement imposé par le RGPD, Facebook a modifié la base juridique du traitement des données. Au lieu du « consentement », la base du traitement des données est désormais un contrat formé avec des services Facebook désormais offerts en contrepartie du traitement des données personnelles des utilisateurs.

Selon la décision du tribunal autrichien, la « question centrale » est de savoir si Facebook tente de « saper » la base juridique plus stricte du consentement en réinterprétant ses services comme une prestation contractuelle.

C’est ce que l’avocate de M. Schrems, Katharina Raabe-Stupping, a fait valoir dans un communiqué. La CJUE va maintenant « créer de la clarté pour tous et fournir des règles uniformes », a ajouté Mme Raabe-Stupping.

La Cour de l’UE va également examiner si l’utilisation de données personnelles provenant d’autres sources — comme la publicité — est compatible avec le principe de minimisation des données inscrit dans le RGPD. Cela pourrait avoir pour conséquence que « Facebook pourrait alors ne plus être autorisé à utiliser toutes les données à des fins publicitaires, même si le consentement est valable », a déclaré M. Schrems. Facebook pourrait également se voir interdire de filtrer les données sensibles — comme l’orientation sexuelle ou les opinions politiques des utilisateurs.

Succès partiels et réaction de Facebook

Bien que les questions les plus sensibles aient été transmises à la Cour de Luxembourg, M. Schrems a déjà obtenu un succès partiel à Vienne, puisque la Cour suprême autrichienne a conclu, dans un arrêt partiel, que le géant américain ne lui avait pas accordé un accès complet aux données stockées à son sujet. Le tribunal lui a accordé 500 euros symboliques de dommages et intérêts.

Facebook étudie actuellement les implications du jugement, a déclaré un porte-parole à EURACTIV, ajoutant que la CJUE ne s’est pas encore prononcée sur la saisine du tribunal de l’UE par l’Autriche. « Nous devrons d’abord voir où cela mène », a ajouté le porte-parole.

« Nous nous sommes engagés à respecter les principes du RGPD et avons apporté des changements majeurs à notre activité dans le cadre de nos efforts continus pour donner aux utilisateurs une transparence et un contrôle significatifs sur leurs données », a déclaré le porte-parole.

RGPD : des activistes veulent s'attaquer à la « terreur des bannières de cookies »

L’organisation noyb (« none of your business ») de l’activiste Max Schrems a annoncé aujourd’hui (31 mai) mettre en demeure plus de 500 sites web répartis dans 33 pays pour leur non-respect du Règlement général pour la protection des données (RGPD) en matière de cookies.

Subscribe to our newsletters

Subscribe