Safe Harbor : les lignes bougent pour Facebook en Irlande

JuridiqueLégislationMarketingRégulationsSocial Media
facebook-irlande-max-schrems
4 8

Déclarée compétente par la justice européenne, la CNIL irlandaise va finalement se saisir de la plainte déposée en 2014 contre Facebook par Max Schrems.

La situation s’est débloquée dans le différend qui oppose Facebook à Maximillian « Max » Schrems devant la justice irlandaise.

Le Data Protection Commissioner, autorité nationale chargée de la protection des données personnelles (la CNIL est son homologue en France), a confirmé ce mardi qu’elle se saisirait de la plainte déposée par l’activiste autrichien contre le réseau social.

Le dossier en était au point mort depuis plus d’un an. Il est relancé à la faveur de l’invalidation, début octobre par la Cour de justice de l’Union européenne (CJUE), du Safe Harbor.

Traduit en français par « Sphère de sécurité », cet ensemble de principes de protection des données personnelles a été négocié à la fin des années 90 entre les autorités américaines et la Commission européenne. Entériné par une décision du 26 juillet 2000, il permet aux entreprises de transférer vers l’étranger des données collectées sur le sol européen.

Le texte ne doit, en théorie, rester applicable qu’aussi longtemps que le pays de destination des données en assure une protection adéquate. Un postulat mis à mal aux États-Unis avec les révélations d’Edward Snowden.

Max la Menace

Étudiant en droit, Maximillian Schrems s’est engouffré dans la brèche en contestant la bonne application du Safe Harbor par Facebook. En 2014, il a déposé plainte en Irlande, là où se trouve la filiale européenne du réseau social. Sa requête : que les transferts de données transatlantiques cessent sans délai « afin que soit sauvegardée la vie privée des utilisateurs ».

Les autorités irlandaises avaient rejeté la plainte en s’appuyant sur la base juridique établie par la décision 2000/520/CE du 26 juillet 2000.

Saisie du dossier, la Haute Cour de justice d’Irlande avait sollicité la CJUE pour déterminer si le DPC était habilité, malgré les réglementations établies par Bruxelles, à conduire une investigation sur la mise en oeuvre du Safe Harbor.

La CJUE a rendu son verdict le mardi 6 octobre : en plus d’invalider cette « Sphère de sécurité », elle a réaffirmé, au nom de la Charte des droits fondamentaux de l’UE, la pleine compétence des autorités nationales chargées de la protection des données personnelles pour examiner « en toute indépendance » le respect, par une entreprise américaine, des dispositions inscrites au Safe Harbor.

Si le Data Protection Commissioner constate que Facebook n’apporte effectivement pas assez de garanties, il pourra exiger une suspension des transferts de données vers les États-Unis.

Du côté de la défense, on s’assure capable d’apporter « toutes les preuves nécessaires » pour démontrer que l’on n’a « jamais pris part à un programme donnant au gouvernement U.S. un accès direct à nos serveurs ».

max-schrems-dpc

Crédit photo : Hadrian – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur