Invalidation du Safe Harbor – Un résumé pour mieux comprendre l’initiative de Max Schrems |
C’est en tant qu’utilisateur de Facebook « depuis 2008 » que ce citoyen (presque) ordinaire s’était adressé à l’équivalent de la Cnil en Irlande – où est implantée la filiale européenne du réseau social – pour s’opposer au transfert de ses propres données personnelles vers les serveurs américains de Facebook. La raison invoquée : les révélations de Snowden sur les pratiques de la NSA, justement, prouvaient que les Etats-Unis n’offraient pas les garanties suffisantes du respect de la vie privée.
Max Schrems, dont la croisade contre le réseau social avait débuté alors qu’il était encore étudiant, accuse entre autres Facebook Ireland Ltd., la base européenne de l’entreprise, d’enfreindre le droit européen sur l’utilisation des données, et de participer au programme de surveillance Prism de la NSA, l’Agence de sécurité nationale américaine.
Toutes les données sont conservées
Octobre 1987 : Naissance de Maximilian Schrems
08/2011 : Recours comportant 22 réclamations devant l’Autorité de protection de la vie privée en Irlande (DPC), où l’entreprise américaine a son siège social européen. La DPC avait donné raison à l’étudiant et demandé à Facebook de clarifier sa politique sur les données privées.
01/08/2014 : Dépôt par Maximilian Schrems devant le tribunal de commerce de Vienne d’un recours collectif contre Facebook ayant réuni 25 000 plaignants demandant chacun 500 euros de dommages et intérêts en réparation de l’utilisation présumée illégale de leurs données personnelles. L’initiative « Europe vs Facebook » dirigée par Max Schrems réclame que le plus grand réseau social au monde « se mette enfin en conformité avec le droit, en ce qui concerne la protection des données ».
01/07/2015 : Rejet de la plainte contre Facebook. La cour a estimé qu’elle était irrecevable dans la forme et s’est déclarée incompétente sur le fond.
06/10/2015 : Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation » Safe Habor » permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé.
La Cour européenne de justice pourrait-elle remettre en cause ce safe harbor ?
Quelles pourraient être les solutions? Dans un second cas, les juges pourraient prendre en compte les autres mécanismes existants, en dehors du safe harbor, comme les clauses contractuelles dans lesquelles les entreprises s’engagent individuellement à respecter la législation européenne sur les données. C’est ce que fait EBay par exemple, qui n’est pas couvert par le safe harbor.
Quel serait l’impact pour les entreprises du net ? A long terme, les entreprises ont intérêt à ce que cette question de juridiction soit résolue. Pour des raisons structurelles, elles tombent à la fois sous le coup de la législation américaine, parce que ce sont des entreprises américaines, et sous la juridiction irlandaise, indienne,… parce qu’elles y sont établies pour des raisons fiscales. Tout le monde a donc intérêt à ce que la Cour tranche.
Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…). Denis JACOPINI
Cet article vous plait ? Partagez !
Sources :
|
Aucun commentaire jusqu'à présent.