La justice se penche une nouvelle fois sur les transferts des données personnelles de la population européenne vers les États-Unis. Rappel des faits si vous avez manqué les épisodes précédents.

Le mardi 9 juillet est une journée capitale. C’est à cette date que la justice européenne examine de nouveau les conditions dans lesquelles se déroulent les transferts de données personnelles vers les États-Unis. Il faudra toutefois faire preuve de patience avant de connaître les conclusions de la Cour de justice de l’Union européenne, car son verdict pourrait survenir d’ici la fin de l’année.

Mais de quoi parle-t-on ?

Tout remonte à 2013, après les révélations faites par Edward Snowden. Lorsque ont été découverts les liens secrets entre les services de renseignement américains et certaines sociétés de la Silicon Valley, l’Autrichien Maximilian Schrems a déposé une plainte contre Facebook. Le réseau social est en effet l’une des entreprises qui est citées dans les documents confidentiels du programme de surveillance PRISM de la NSA.

Schrems

Maximilian Schrems.

Source : Noyb

Fin d’un premier accord

Le but de Max Schrems est de faire cesser les transferts de données de Facebook vers les États-Unis, lorsque lesdites informations concernent les Européens, afin de les protéger de la surveillance de masse mise en œuvre par les États-Unis. L’Autrichien s’est alors tourné vers l’équivalent de la CNIL en Irlande, puisque c’est dans ce pays que se trouve le siège européen de Facebook.

La CNIL irlandaise n’a toutefois pas donné immédiatement suite à cette demande : elle a à la place rejeté la demande, avant que des recours juridiques permettent à l’Autrichien de solliciter la Cour de justice de l’Union européenne une première fois, en 2015. L’instance marquera alors les esprits en invalidant l’accord transatlantique dit du « Safe Harbor », qui autorisait alors ces transferts de l’Europe vers les USA.

C’est alors qu’un rebondissement a eu lieu : la commission irlandaise responsable de la protection des données a déclaré que ces transferts concernant Facebook ne reposaient pas en réalité sur le Safe Harbor, mais sur un autre mécanisme : les clauses contractuelles types. En conséquence, l’invalidation du Safe Harbor ne permettait pas d’être utilisée pour en finir avec ces transferts.

Les clauses contractuelles types sont des dispositifs qui encadrent l’envoi des données personnelles de l’autre côté de l’Atlantique. Elles sont des modèles de contrats adoptés par la Commission européenne et servent lorsque des transferts se font en dehors de l’Union, en vue de « faciliter la tâche » des entreprises chapeautant ces opérations. En fonction du pays de destination, différents cas de figure peuvent survenir.

Nouvel assaut judiciaire

Pas de quoi décourager Max Schrems, néanmoins, puisque l’intéressé a ajusté sa tactique pour viser cette fois les clauses contractuelles types. Là encore, il a demandé leur invalidation au motif qu’elles servent ensuite aux services de renseignement américains. Une nouvelle série de recours et d’actions au sein du système judiciaire irlandais s’est donc déroulée.

Après enquête de la commission irlandaise, le dossier a été envoyé auprès de la Haute Cour irlandaise en 2016. L’audience, survenue en 2017, s’est conclue par un verdict selon lequel Washington opère bien un traitement de masse des données personnelles des internautes européens. Elle a donc transmis 11 questions préjudicielles à la Cour de justice de l’Union européenne en 2018.

cjue cour justice

Cour de justice de l'Union européenne.

Source : Transparency International EU Office

Ce sont désormais ces 11 questions préjudicielles que doit examiner la Cour de justice de l’Union européenne dans la nouvelle affaire qui s’ouvre le 9 juillet. Mais il n’y a pas que les clauses contractuelles types qui sont sur la sellette : le nouvel accord transatlantique, qui est baptisé le Privacy Shield (Bouclier de protection des données), pourrait lui aussi se faire invalider par la justice européenne.

Max Schrems n’est d’ailleurs pas le seul à trouver que la protection conférée par le Privacy Shield est insuffisante.Si la Commission européenne ne s’en plaint guère, le Parlement tout comme les autorités de protection des données personnelles se montrent beaucoup plus critiques. Au sein de la commission spécialisée du Parlement européen, les parlementaires ont même réclamé la suspension du dispositif.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !