Nouvelle étape de la bataille juridique autour du transfert des données personnelles de l’Union Européenne vers les Etats-Unis, via les grandes entreprises du numérique. Cette fois, c’est Facebook qui est dans le collimateur : sur demande de la justice irlandaise, la Cour de Justice Européenne va étudier la légalité de ses dispositifs de protection des données.
Alors que le Privacy Shield est en plein audit après sa première année d’existence – et sous le feu nourri des critiques des spécialistes de la confidentialité des données en Europe –, une nouvelle affaire vient secouer le monde merveilleux de la protection des données sur l’axe UE-USA.
Déséquilibre USA / UE sur la protection des données personnelles
C’est un fait établi, la protection des données personnelles est bien plus forte dans l’Union Européenne (UE) qu’aux Etats-Unis. Or, de nombreuses entreprises américaines collectent des données de ressortissants de l’UE, pour les transférer sur le sol américain ; légalement, en droit européen, elles doivent avoir, aux Etats-Unis, le même niveau de protection qu’en Europe.
Dans les faits, c’est très loin d’être le cas – comme l’ont confirmé les révélations d’Edward Snowden sur les pratiques du renseignements américains. Cette affaire avait démontré la facilité avec laquelle les agents américains mettaient la main sur des données de ressortissants de l’UE, et tout particulièrement avec Facebook : elle avait provoqué l’annulation par la Cour de Justice Européenne du Safe Harbour, le programme d’échange de données UE-USA – et remplacé depuis par le Privacy Shield.
Clauses contractuelles et Privacy Shield : une protection insuffisante ?
Depuis Facebook s’appuyait sur le mécanisme des clauses contractuelles pour transférer ces données : l’entreprise avait défini elle-même un standard de protection, qu’elle estimait suffisant. Sur demande de la Cour de justice irlandaise, cette même Cour de Justice Européenne va devoir statuer, à nouveau, sur la légalité de ces standard.
En effet, la cour de justice irlandaise – saisie par le régulateur irlandais des télécoms, compétente dans cette affaire puisque le siège social européen de Facebook est situé à Dublin – a estimé que le Privacy Shield et les causes contractuelles « n’éliminent pas les préoccupations justifiées qui sont soulevées par le régulateur irlandais à la protection des données » au sujet de « l’adéquation de la protection accordée aux personnes européennes ».
Dans le viseur : les entreprises « impliquées dans la surveillance de masse »
La Cour de justice estime donc probable que les données demeurent moins bien protégées aux Etats-Unis qu’en Europe et, partant, que leur transfert est illégal. Une décision de la Cour de Justice Européenne allant dans ce sens interdirait tout simplement ce transfert – pour l’ensemble des entreprises américaines. Un cataclysme pour l’économie numérique, qu’elle soit américaine ou européenne.
D’ailleurs Max Schrems, le juriste autrichien qui a amené cette affaire devant la Cour de Justice Européenne, a expliqué que cette action n’avait pas l’objectif de « faire cesser l’ensemble des transferts de données, car 90 % d’entre eux ne posent pas de problème ». Il veut se concentrer sur les entreprises « impliquées dans la surveillance de masse » – celles qui collaborent avec le plus de diligence avec les services secrets américains. En la matière le champion s’appelle, sans surprise, Facebook.
Les plaignants se veulent d’ailleurs rassurant : la décision de la Cour de justice irlandaise « n’invalide pas les clauses contractuelles types ni le Privacy Shield ; elle n’interdit pas non plus leur utilisation continue aux fins de transfert de données vers les États-Unis ou ailleurs ». Cette action en justice vise simplement à déterminer si ces dispositifs sont suffisants et, si ce n’est pas le cas, à imposer un cadre précis pour les rendre suffisants.
Partie de poker menteur
En clair : la régulateur irlandais veut savoir si les clauses contractuelles et le Privacy Shield sont légaux et suffisants, non pas pour interdire le transfert des données personnelles, mais pour forcer les entreprises américaines à réformer ces clauses et ce Privacy Shield vers une protection aussi forte qu’en Union Européenne.
Dit autrement : « nous pouvons légalement interdire le transfert de données vers les Etats-Unis ; nous ne le faisons pas, mais renforcez les dispositifs en place ». Une menace voilée, un rapport de force, du bluff : une vraie partie de poker.