Facebook peut-il transférer les données personnelles des internautes européens vers les États-Unis ? La Cour de justice de l'Union européenne est sollicitée par les tribunaux irlandais pour vérifier la légalité du cadre utilisé par le réseau social américain.

C’est donc devant la Cour de justice de l’Union européenne que se réglera la question de l’utilisation, par Facebook, des fameuses clauses contractuelles types servant à exporter les données personnelles des internautes européens vers les États-Unis. La haute cour de justice irlandaise a rendu une décision mardi 3 octobre qui demande à la juridiction communautaire de se se pencher sur la légalité de ces transferts.

Pour la justice irlandaise, qui est compétente dans la mesure où le réseau social a son siège européen à Dublin, les dispositions récentes, notamment l’introduction du mécanisme du Privacy Shield, « n’éliminent pas les préoccupations justifiées qui sont soulevées par le régulateur irlandais à la protection des données » au sujet de « l’adéquation de la protection accordée aux personnes européennes  ».

La haute cour fait référence ici aux «  données personnelles [qui] font l’objet d’une ingérence injustifiée de la part des services de renseignement des États-Unis, dès lors qu’elles ont été transférées en vue d’être traitées aux États-Unis ». En Irlande, le régulateur à la protection des données remplit le même rôle que la Commission nationale de l’informatique et des libertés.

Et la haute cour d’ajouter que les Européens bénéficient d’une haute protection des données et ont aussi « droit à un niveau tout aussi élevé de protection de leurs données lorsqu’elles sortent de l’espace économique européen ».

Jusqu’à l’arrêt de la Cour de justice de l’Union européenne ayant mis fin à ce régime, Facebook se servait du Safe Harbor comme cadre légal pour transférer les données d’internautes européens vers ses centres de traitement de données aux USA, où elles font l’objet de traitements algorithmiques. Ce cadre avait été négocié dans les années 2000 entre Bruxelles et Washington. Mais dans son arrêt impliquant justement Facebook et l’autorité irlandaise, la juridiction communautaire a jugé que ce dispositif est invalide parce que les États-Unis ne protègent pas assez les données personnelles au regard des standards établis sur le Vieux Continent.

Facebook
CC Marcin Wichary

Face à cette révolution juridique, Facebook a changé son fusil d’épaule et opté pour le mécanisme des clauses contractuelles types. Avec celles-ci, c’est l’entreprise qui s’engage à respecter un certain standard de protection, réputé suffisant. Il avait été décidé par les autorités européennes de protection des données et de la vie privée — comme la Cnil en France — d’accepter de maintenir une relative validité de ces clauses pour qu’elles soient utilisables pour exporter des données vers les USA, de toute évidence pour des raisons économiques, malgré l’illégalité reconnue de ces transferts.

Il revient donc désormais à la Cour de justice de l’Union européenne de dire si oui ou non ces clauses types sont utilisables. Si elle tranche par la négative, ce qui logiquement devrait survenir si l’on observe la trajectoire favorable de la juridiction en matière de défense des droits des internautes et au regard du verdict rendu en 2015 au sujet du Safe Harbor, alors des milliers d’entreprises se retrouveraient dans l’incapacité juridique de transférer des données vers les USA. En tout cas, au moyen de ces clauses contractuelles types. Il n’est pas improbable de croire que cela porterait un coup à l’économie numérique américaine mais aussi, paradoxalement, à l’économie numérique européenne, celle-ci reposant pour partie sur les services américains.

Un scénario catastrophe ? Pour Maximilian Schrems, ce n’est en tout cas pas son but. À l’AFP, l’intéressé explique ne pas chercher à « faire cesser l’ensemble des transferts de données, car 90 % d’entre eux ne posent pas de problème ». Ce qu’il s’emploie à faire, c’est de mener la vie dure aux entreprises « impliquées dans la surveillance de masse ». C’est le cas de Facebook, comme l’ont montré les documents confidentiels extraits par le lanceur d’alerte Edward Snowden quand il travaillait pour la NSA. Le régulateur irlandais à la protection des données s’est lui aussi fendu d’une réaction pour recadrer la portée du verdict de la haute cour… et se montrer rassurant.

Saluant le verdict de la haute cour, l’institution dit se féliciter de ce renvoi à la Cour de justice, ce qu’elle demandait, mais fait remarquer que cette décision « n’invalide pas les clauses contractuelles types ni le Privacy Shield ; elle n’interdit pas non plus leur utilisation continue aux fins de transfert de données vers les États-Unis ou ailleurs ». Pour le régulateur, elle invite plutôt la Cour de justice de l’Union à déterminer si la forme actuelle des clauses contractuelles types peuvent et doivent être conservées comme base pour le transfert de données personnelles vers les États-Unis, en vertu du droit de l’Union. Et le régulateur de rappeler qu’aujourd’hui, des tas d’entreprises misent sur ces clauses pour leur business.

De son côté, Facebook n’affiche pas la même sérénité. Un communiqué transmis à l’AFP déclare que la Cour de justice de l’Union doit maintenant « apprécier l’évidente robustesse des protections mises en place dans le cadre des clauses contractuelles types et de la loi américaine avant de prendre une décision qui pourrait mettre en danger les transferts de données ». Et le géant du net d’insister sur le fait que ces dispositions « sont essentielles aux entreprises de toutes tailles et leur maintien est crucial pour permettre une croissance économique sans obstacle ». Reste à savoir si l’argument économique aura sa place dans la réflexion des magistrats européens.

Partager sur les réseaux sociaux