Juridique & Affaires Publiques

Max Schrems vs le transfert international de données personnelles

La procédure initiée par Max Schrems contre Facebook se poursuit encore aujourd’hui. Après une première décision de la Cour de Justice de l’Union européenne (CJUE) le 6 octobre 2015 qui a prononcé l’invalidation de l’accord Safe Harbor, qui encadrait le transfert de données personnelles européennes vers les Etats-Unis, ce sont aujourd’hui les Clauses Contractuelles-Type rédigées par la Commission européenne pour encadrer les accords de transfert international de données personnelles européennes qui sont en cause devant la Haute Cour d’Irlande.

L’invalidation du Safe Harbor par la CJUE

L’accord Safe Harbor, adopté en 2001, imposait un certain nombre de règles aux entreprises opérant un transfert de données personnelles de l’Union vers les Etats-Unis. Pour la Commission européenne, le respect de ces principes garantissait un niveau de protection aux données transmises satisfaisant au regard du droit européen.

L’invalidation de cet accord par la Cour de justice de l’Union européenne découle d’une plainte d’un ressortissant autrichien, Max Schrems, adressée à Facebook. Il faisait valoir que le cadre légal applicable au transfert de données personnelles européennes vers les Etats-Unis (à savoir le Safe Harbor), utilisé par Facebook, n’était pas valable au regard des révélations faites par Edward Snowden sur la collecte et le traitement massifs de données personnelles opérés par la NSA.

Le Commissaire à la Protection des Données irlandais (DPC), constatant son incompétence pour prononcer l’invalidité d’un accord garanti par la Commission, a renvoyé l’affaire à la Haute Cour irlandaise, laquelle a, suivant le même raisonnement, posé une question préjudicielle à la CJUE. Cette dernière a constaté l’invalidité du Safe Harbor, ordonné la mise en place d’un nouvel accord conforme au droit de l’Union et renvoyé l’affaire à la Haute Cour irlandaise. Face à l’invalidation du Safe Harbor, le DPC a autorisé Max Schrems à réviser sa plainte.

La reprise de la procédure irlandaise visant les clauses contractuelles-type

La nouvelle plainte de Max Schrems s’attaque au fondement de substitution au transfert de données adopté par Facebook suite à l’invalidation du Safe Harbor : les clauses contractuelles-type.

Pour rappel, la directive 95/46/CE pose plusieurs fondements susceptibles de garantir la validité d’un transfert de données personnelles en-dehors de l’Union. Une entreprise peut :

  • se prévaloir d’une décision de la Commission européenne, le cas échéant accompagnée de principes à respecter, constatant qu’un pays tiers fournit un niveau de protection adéquat (comme le cas du Safe Harbor) ;
  • adopter, dans le contrat de transfert de données avec le tiers établi en-dehors de l’Union, des clauses contractuelles-type rédigées par la Commission, dont le respect garantit un niveau satisfaisant de protection
  • dans le cas de groupes établis à la fois sur le territoire de l’Union et en-dehors, mettre en place des Règles Internes d’Entreprises (« Binding coporate rules ») qui viennent encadrer le transfert de données au sein de cette entreprise.

Suite à l’invalidation du Safe Harbor, la Commission européenne a entamé avec les Etats-Unis des négociations sur un nouvel accord pour encadrer les transferts de données transatlantiques, appelé le Privacy Shield.

Cet accord, à peine trouvé, fait déjà l’objet d’une contestation conduite par l’association Digital Rights Ireland. La procédure d’examen de sa validité est en cours.

Le Privacy Shield étant menacé du même sort que son prédecesseur, c’est vers les clauses contractuelles-type que Max Schrems a tourné son attention. Le DPC irlandais, saisi de cette nouvelle plainte, s’en est une fois encore référé à la Haute Cour d’Irlande, en suggérant une nouvelle question préjudicielle et en appelant à l’instance Max Schrems, devenu avocat, et Facebook. La Haute Cour auditionne en ce moment les différentes parties prenantes, dont de nombreux intervenants volontaires (des avocats représentant le Gouvernement américain, Google, Apple, Amazon, Microsoft, Intel…).

La validité des clauses contractuelles-type

Depuis le 9 septembre, la Haute Cour a reçu communication de documents, puis entendu les parties en présence. Max Schrems, dont les arguments ont été jugés pertinents par le DPC, a notamment fait valoir que les clauses contractuelles-type ne permettent pas aux personnes dont les données font l’objet d’un transfert de s’opposer à l’utilisation que les agences gouvernementales américaines peuvent en faire, une fois qu’elles ont ordonné aux entreprises (ici, Facebook) de les leur fournir. Cela contreviendrait aux articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne, relatifs respectivement au respect de la vie privée, à la protection des données personnelles et au droit à un recours effectif et d’accéder à un tribunal impartial.

Les arguments de Facebook ont d’abord visé les conséquences extrêmes d’une invalidation des clauses contractuelles-type par la Cour de Justice pour des secteurs entiers de l’industrie du numérique, de l’informatique et des services. En effet, ce mécanisme est le fondement principal de transfert de données en dehors de l’Union européenne. Face au Privacy Shield, récemment mis en place, déjà contesté et considéré par beaucoup comme fragile au regard du droit de l’Union, les clauses contractuelles-type seraient le seul support juridique efficace dont disposeraient les entreprises pour procéder à des transferts internationaux de données personnelles. Ces transferts sont considérés comme vitaux pour de nombreuses sociétés, et notamment Facebook. Le représentant du Gouvernement américain a renchéri, soulignant « l’importance critique » de ce mécanisme pour les Etats-Unis, pour des raisons juridiques et commerciales.

Le représentant du Gouvernement américain a également fait valoir que le système mis en place par le Gouvernement, qui ne se limite pas au cadre des voies de recours ouvertes aux citoyens européens, leur confère un niveau de protection adéquat dans le traitement de leurs données personnelles. Selon lui, le système d’analyse de données comporte de nombreux filtres et garanties qui assurent le respect des droits des personnes dont les données personnelles sont traitées.

Les auditions devant la Haute Cour se poursuivent, sans que celle-ci n’ait encore donné de date de délibéré. Les demandes faites à la Cour varient : le DPCHa

 demande à la Cour de poser à la CJUE une question préjudicielle, ce à quoi Max Schrems et Facebook s’opposent, le premier estimant que ce n’est pas nécessaire pour déclarer invalides les clauses contractuelles-type, l’autre faisant valoir que la plainte de Max Schrems et le rapport du DPC ne sont pas fondés.

image_pdfimage_print