La CJUE donne raison aux GAFAM sur la gestion des données de l’UE

Max Schrems (à d.) et son avocat. [EPA/JULIEN WARNAND]

Les clauses de la Commission européenne, utilisées pour les transferts de données entre les pays de l’UE et les pays tiers, sont « valables », selon l’avis de avocat général de la Cour de justice de l’Union européenne.

C’est une victoire symbolique pour le géant des médias sociaux Facebook, qui utilise les clauses contractuelles types (CC) de la Commission pour assurer le respect des normes de confidentialité concernant les utilisateurs européens de la plateforme.

L’avocat général Henrik Saugmandsgaard Øe a néanmoins souligné, jeudi 19 décembre, l’importance que revêt  la suspension des transferts de données par les autorités responsables, lorsque les obligations énoncées dans les clauses contractuelles types ne sont pas respectées.

L’avis fait suite à une contestation judiciaire de l’activiste autrichien Max Schrems. Selon lui, les clauses contractuelles types de la Commission ne protègent pas suffisamment la vie privée des citoyens. Ces contrats sont établis en l’absence d’un accord sur l’adéquation des transferts de données entre la Commission et les parties extérieures au bloc européen, dans l’espoir de fournir des garanties suffisantes en matière de protection des données. Ils sont utilisés par des milliers d’entreprises dans le monde, y compris des géants comme Facebook.

Dans la grande majorité des cas, les avis juridiques de l’avocat général sont suivis par la Cour. Dans cette affaire, une décision finale des juges est attendue dans les mois à venir.

Si la contestation de Max Schrems était soutenue par la Cour – ce qui paraît désormais improbable -, cela pourrait avoir de sérieuses conséquences sur la manière dont les flux de données circulent entre les entreprises de l’UE et celles des pays tiers, et pourrait les obliger à mettre un terme à ces transferts de données, sous peine de se voir infliger de lourdes amendes.

Surveillance de masse aux États-Unis

Max Schrems a joué un rôle dans la contestation des pratiques de protection des données de Facebook. En 2013, il a déposé plainte auprès du commissaire irlandais à la protection des données, dans le but de mettre fin au transfert de données de Facebook d’Irlande vers les États-Unis.  En cause, la crainte que Facebook USA ait détourné des données pour les fournir aux autorités américaines dans le cadre du programme de surveillance de masse PRISM — la collecte par la NSA (l’Agence nationale de sécurité) de données issues de communications Internet auprès d’entreprises américaines.

Cela a conduit à une affaire judiciaire en 2015, dans le cadre de laquelle Max Schrems a contesté avec succès les principes de la « sphère de sécurité » de l’UE en matière de protection de la vie privée. Ces derniers avaient été élaborés pour empêcher les entreprises privées de l’UE ou des États-Unis de perdre ou de révéler accidentellement des données personnelles appartenant à des citoyens.

Cette année-là, l’avocat général de la Cour de justice de l’Union européenne (CJUE), Yves Bot, a présenté à la Cour un avis selon lequel l’accord sur la sphère de sécurité devait être invalidé, ajoutant que les autorités de protection des données pouvaient suspendre les transferts de données vers d’autres pays s’il y avait des preuves de violation des droits en matière de protection des données. La CJUE a finalement confirmé l’opinion d’Yves Bot.

Protection de la vie privée

Dans son avis dévoilé le 19 décembre, Henrik Saugmandsgaard Øe a également fait part de son point de vue sur l’accord de transfert de données de l’UE avec les États-Unis, le « Privacy Shield agreement ». Cet accord de 2016 oblige les entreprises américaines à protéger les données personnelles des citoyens de l’UE conformément aux normes européennes et aux droits des consommateurs.

L’avis de Henrik Saugmandsgaard Øe stipule que la CJUE ne devrait pas nécessairement se prononcer sur la validité de l’accord, étant donné que le litige dont il est question ne concerne que l’établissement par la Commission de clauses contractuelles types. Toutefois, l’avocat général a lui-même remis en cause la légitimité du « Privacy Shield agreement », en indiquant qu’il existe « des raisons qui l’amènent à mettre en doute la validité de la décision concernant la “protection de la vie privée” à la lumière du droit au respect de la vie privée et du droit à un recours effectif ».

Caitlin Fennessy, l’ancienne directrice du « Privacy Shield » au sein de l’administration américaine du commerce international, qui est maintenant directrice de recherche à l’Association internationale des professionnels de la protection de la vie privée (IAPP), a souligné que si l’avis de Henrik  Saugmandsgaard Øe avait conclu à l’invalidité des clauses contractuelles types, cela aurait pu « causer une terrible anxiété dans le milieu des affaires, de nature à bouleverser le status quo ».

Elle a ajouté que le litige entre Facebook et Max Schrems ne constituait « pas une question pouvant être résolue par des contrats  » mais plutôt « un problème de sécurité nationale ». Caitlin Fennessy a également précisé que le « Privacy Shield agreement » fonctionnait en pratique comme un « instrument commercial » qui n’était pas nécessairement en mesure de répondre aux défis de la sécurité nationale.

Subscribe to our newsletters

Subscribe
CONTRIBUER