La situation s’est débloquée dans le différend qui oppose Facebook à Maximillian « Max » Schrems devant la justice irlandaise.
Le Data Protection Commissioner, autorité nationale chargée de la protection des données personnelles (la CNIL est son homologue en France), a confirmé ce mardi qu’elle se saisirait de la plainte déposée par l’activiste autrichien contre le réseau social.
Le dossier en était au point mort depuis plus d’un an. Il est relancé à la faveur de l’invalidation, début octobre par la Cour de justice de l’Union européenne (CJUE), du Safe Harbor.
Traduit en français par « Sphère de sécurité », cet ensemble de principes de protection des données personnelles a été négocié à la fin des années 90 entre les autorités américaines et la Commission européenne. Entériné par une décision du 26 juillet 2000, il permet aux entreprises de transférer vers l’étranger des données collectées sur le sol européen.
Le texte ne doit, en théorie, rester applicable qu’aussi longtemps que le pays de destination des données en assure une protection adéquate. Un postulat mis à mal aux États-Unis avec les révélations d’Edward Snowden.
Étudiant en droit, Maximillian Schrems s’est engouffré dans la brèche en contestant la bonne application du Safe Harbor par Facebook. En 2014, il a déposé plainte en Irlande, là où se trouve la filiale européenne du réseau social. Sa requête : que les transferts de données transatlantiques cessent sans délai « afin que soit sauvegardée la vie privée des utilisateurs ».
Les autorités irlandaises avaient rejeté la plainte en s’appuyant sur la base juridique établie par la décision 2000/520/CE du 26 juillet 2000.
Saisie du dossier, la Haute Cour de justice d’Irlande avait sollicité la CJUE pour déterminer si le DPC était habilité, malgré les réglementations établies par Bruxelles, à conduire une investigation sur la mise en oeuvre du Safe Harbor.
La CJUE a rendu son verdict le mardi 6 octobre : en plus d’invalider cette « Sphère de sécurité », elle a réaffirmé, au nom de la Charte des droits fondamentaux de l’UE, la pleine compétence des autorités nationales chargées de la protection des données personnelles pour examiner « en toute indépendance » le respect, par une entreprise américaine, des dispositions inscrites au Safe Harbor.
Si le Data Protection Commissioner constate que Facebook n’apporte effectivement pas assez de garanties, il pourra exiger une suspension des transferts de données vers les États-Unis.
Du côté de la défense, on s’assure capable d’apporter « toutes les preuves nécessaires » pour démontrer que l’on n’a « jamais pris part à un programme donnant au gouvernement U.S. un accès direct à nos serveurs ».
Crédit photo : Hadrian – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…