Données personnelles: Max Schrems, le juriste qui a gagné son bras de fer contre Facebook

Cette décision fera date pour la protection des données personnelles sur Internet. Ce mardi, la Cour de justice de l’Union européenne (CJUE) a déclaré « invalide » le cadre juridique qui couvre le transfert de données personnelles de l’UE vers les Etats-Unis. Une affaire, qui concerne le mastodonte du Web qu’est Facebook et des milliers d’autres entreprises américaines.

>> A lire aussi : Ce que Facebook sait sur vous

• Qui est à l’origine de la plainte ?

Max Schrems, un juriste autrichien, avait demandé aux autorités de contrôle en Irlande – où se trouve le siège européen de Facebook – de s’opposer au transfert de ses données personnelles vers les Etats-Unis, au nom du respect de sa vie privée. Son argumentation s’appuyait notamment sur les révélations concernant les pratiques des agences de renseignement américain (dont l’affaire Snowden). Sa requête avait été rejetée.

• Pourquoi la requête a-t-elle été rejetée ?

Les autorités irlandaises ont invoqué le régime juridique dit de la « sphère de sécurité ». En VO, on parle de Safe Harbour. Ce régime juridique avait été mis en place par les autorités américaines pour leurs entreprises (Facebook et des milliers d’autres) transférant des données depuis l’Europe. En 2000, la Commission européenne avait considéré que ce cadre protégeait suffisamment les citoyens de l’UE. Les autorités irlandaises ont donc estimé que les Etats-Unis assuraient un niveau suffisant de protection aux données transférées. Ce qui a conduit Max Schrems à lancer un recours devant la justice irlandaise, qui a saisi la CJUE.

• Que dit le jugement de la Cour de justice de l’UE ?

La cour, installée à Luxembourg, a donné raison à l’Autrichien ce mardi. « L’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle », a jugé la Cour. Autrement dit, la Commission européenne « n’avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle ». La décision des autorités irlandaises est donc « invalide ».

• Quelles sont les conséquences de ce jugement ?

La CJUE a porté un dur coup aux règles qui régissent depuis quinze ans ces transferts de données à des fins commerciales. La députée européenne Sophie In’t Veld, membre de la Commission des libertés civiles au Parlement européen, a même parlé de « clou » dans le cercueil de Safe Harbour.

L’autorité irlandaise de contrôle est désormais tenue d’examiner la plainte de Max Schrems. « Il lui appartient, au terme de son enquête, de décider s’il convient (…) de suspendre le transfert des données des abonnés européens de Facebook vers les Etats-Unis », a précisé la Cour.

• Comment a réagi Max Schrems ?

« C’est une victoire à 100 % pour Schrems », a commenté un expert européen. La décision de la CJUE a évidemment comblé le juriste autrichien. Il a parlé d’un « coup majeur pour la surveillance de masse exercée par les Etats-Unis, qui repose lourdement sur des partenaires privés (…). Ce jugement montre clairement que les entreprises américaines ne peuvent pas simplement s’allier aux efforts de l’espionnage américain en violant les droits fondamentaux européens. »

• Comment a réagi Facebook ?

Le réseau social ne « like » pas vraiment. Après l’annonce de la décision de la CJUE, dans un communiqué, Facebook a, sans surprise, jugé « impératif » que les Etats-Unis et l’UE trouvent une solution pour garantir des « méthodes fiables de transferts légaux de données ». Et d’ajouter : « Cette affaire ne concerne pas Facebook. Ce qui est en cause, c’est l’un des instruments que la loi européenne fournit » pour permettre le transfert de données personnelles vers les Etats-Unis.