login
login
Image header Agence Europe
Bulletin Quotidien Europe N° 12292
Sommaire Publication complète Par article 15 / 36
POLITIQUES SECTORIELLES / Justice

Transfert de données par Facebook vers les États-Unis, Max Schrems de nouveau devant la Cour de justice

Six ans après le dépôt de sa plainte, le célèbre activiste autrichien, Max Schrems, se retrouvait à nouveau (EUROPE 11281/13), mardi 9 juillet, face aux juges de la Cour de justice de l’Union européenne (CJUE) (plaidoiries dans l'affaire C-311/18).

L’affaire remonte à 2013, quand Max Schrems déposait une plainte contre Facebook auprès du régulateur irlandais visant à faire cesser les transferts de données de Facebook entre l’UE et les États-Unis, afin de protéger les données personnelles des Européens de la surveillance de masse outre-Atlantique. En 2015, l’affaire avait marqué les esprits en débouchant sur la décision de la CJUE d’invalider le ‘Safe Harbor’, l’ancêtre du dispositif 'Privacy Shield’.

Après des années de procédures judiciaires, en 2018, la Haute Cour de justice irlandaise a saisi la CJUE, qui doit maintenant se prononcer sur onze questions préjudicielles, portant notamment sur le mécanisme de transfert de données par les clauses contractuelles types utilisées par Facebook, ainsi que sur la capacité du régulateur irlandais de suspendre ou interdire le transfert de données personnelles des utilisateurs de Facebook Ireland vers les États-Unis (EUROPE 11875/14).

Devant la Grande Chambre de la Cour, les trois parties sont venues exposer leurs arguments lors d'une audition : la Commission nationale irlandaise de protection des données (DPC), Facebook Ireland et Max Schrems.

Ont aussi défilé, tour à tour, tout au long de la journée, les quatre « amici curiae », à savoir le gouvernement américain, le Electronic Privacy Information Center, ainsi que l’organisation The Business Software Alliance (BSA) et DigitalEurope. La Commission européenne, le Parlement européen et le Comité européen de la protection des données (CEPD) ont également présenté leurs observations.

Commentant l’audition en direct sur Twitter, Max Schrems a indiqué que le gouvernement irlandais lui-même avait reconnu que la DPC irlandaise avait le pouvoir nécessaire pour suspendre ou interdire les clauses contractuelles types utilisées par Facebook pour le transfert des données aux États-Unis. Une ligne également suivie par la Commission européenne et le CEPD.

Pour sa part, la DPC estime que les clauses contractuelles types encadrant les transferts de données personnelles hors de l’UE sont adoptées par la Commission européenne et que, de la sorte, la décision d’interdire ou de suspendre ces transferts ne peut être prise au niveau national.

Elle estime aussi que, puisque les clauses contractuelles types ne prévoient pas elles-mêmes une telle situation, elles devraient être invalidées, signifiant ainsi que les transferts de données vers tout pays non membre de l'UE en vertu de cet instrument devraient être interrompus.

À l’inverse, Max Schrems ne demande pas l’invalidité de toutes les clauses contractuelles types, mais estime que la DPC pourrait suspendre les transferts de données individuelles de la part de Facebook.

« Nous proposons une solution mesurée : la DPC irlandaise doit simplement appliquer les règles correctement, au lieu de renvoyer l'affaire au Luxembourg à maintes reprises. Cette affaire est pendante depuis six ans. Au cours de ces six années, la DPC n'a rendu une décision que dans 2 à 3 % des cas qui lui ont été soumis. Nous n'avons pas de problème avec les ‘clauses contractuelles types’, nous avons un problème avec l’application », a-t-il déclaré, lundi, dans un communiqué.

Plusieurs parties ont souligné la nécessité de maintenir la validité des clauses contractuelles types, notamment le gouvernement américain. Comme elle l’avait déjà fait devant la Haute Cour de justice irlandaise, l’organisation The Business Software Alliance a insisté sur l’importance des clauses contractuelles types dans les opérations quotidiennes des entreprises en Europe et a souligné les effets perturbateurs qu'entraînerait la décision de les annuler.

Les clauses contractuelles types ne sont pas les seules à se retrouver sur la sellette ; c'est aussi le cas du ‘Privacy Shield’, le dispositif transatlantique de protection des données. De l'avis de M. Schrems, la décision de la Commission européenne sur le 'Privacy Shield' ne décrit pas de façon adéquate les lois américaines en matière de surveillance et n'est pas en mesure d'assurer une protection adéquate de la vie privée, raisons pour lesquelles elle devrait être invalidée. La Commission européenne, elle, a défendu un dispositif qui, selon elle, fonctionne bien.

L'avocat général de la Cour, Henrik Saugmandsgaard Øe, devrait rendre ses conclusions dans l’affaire le 12 décembre 2019. (Marion Fontana)

Sommaire

REPÈRES
INSTITUTIONNEL
ÉCONOMIE - FINANCES - ENTREPRISES
POLITIQUES SECTORIELLES
ACTION EXTÉRIEURE
SÉCURITÉ - DÉFENSE
SOCIAL
BRÈVES
ERRATUM