Le Commissaire irlandais à la protection des données, qui remplit en Irlande le même rôle que la Cnil française, a annoncé mercredi qu’elle saisissait la Cour de justice de l’Union européenne (CJUE) pour qu’elle dise si Facebook peut toujours transférer des données d’Européens vers les États-Unis. Le réseau social a son siège européen à Dublin, et passe donc par l’autorité irlandaise pour valider ses transferts de données.
Jusqu’à l’arrêt Schrems du 6 octobre 2015, Facebook utilisait le régime du Safe Harbor négocié entre la Commission européenne et les USA pour justifier le transfert de données d’internautes européens vers ses data centers des États-Unis, où elles font l’objet de traitements algorithmiques. Mais dans cet arrêt qui concernait justement Facebook et l’autorité irlandaise, la CJUE avait jugé que le Safe Harbor était invalide, parce que les États-Unis ne protégeaient pas suffisamment les données personnelles au regard des standards européens.
Il y a toujours une forme de jeu de dupes dans ce dossier
Depuis, Facebook a donc changé de méthode, et passe par le système des clauses contractuelles type, par laquelle l’entreprise s’engage elle-même à respecter un standard de protections, réputé suffisant. De façon très incompréhensible sur le plan juridique, mais qui se veut pragmatique sur le plan de l’économie numérique, les Cnil européennes avaient en effet décidé que pour l’instant, ces clauses types resteraient utilisables pour exporter des données des USA, tant que le Safe Harbor ne serait pas remplacé par le Privacy Shield. Pourtant, il n’y a aucune raison de considérer que les données sont mieux protégées aux États-Unis (en particulier au regard des services de renseignement américains) lorsqu’elles sont encadrées par un contrat privé, que lorsqu’elles étaient encadrées par le Safe Harbor.
C’est donc pour avoir un avis définitif et opposable sur la question que la Cnil irlandaise, sommée par la Haute cour de prendre position, a demandé à la Cour de justice de l’Union européenne de prendre position à sa place. C’est la CJUE qui devra dire si oui ou non, les clauses types sont utilisables.
Si elle dit que non, comme la logique le voudrait, alors des milliers d’entreprises se retrouveraient dans l’incapacité juridique de transférer des données vers les USA, ce qui porterait un coup très dur à l’économie numérique américaine, voire à l’économie numérique européenne qui repose pour partie sur les services américains.
Mais il y a toujours une forme de jeu de dupes dans ce dossier, puisque la CJUE mettra des mois à répondre. Or d’ici là, le Privacy Shield aura sans doute été finalisé et officialisé, permettant à ces entreprises de retrouver un régime réputé légal, jusqu’à son éventuelle annulation, que certains prédisent déjà.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
