Un État membre peut-il s’opposer à ce que les données personnelles d’un de ses ressortissants soient transmises par Facebook aux États-Unis ? C’est la question qu’a posée la justice irlandaise à la Cour de justice de l’Union européenne.
Est-ce la décision de tous les dangers pour les services en ligne américains ouverts aux Européens ? Sans doute si on examine les faits de l’affaire. Le litige est né en juin 2013 à l’initiative d’un citoyen autrichien. Maximilian Schrems a déposé en effet plainte devant l'équivalent de notre CNIL en Irlande, là où est installé Facebook en Europe. Il considère qu’au regard des révélations d’Edward Snowden, les États-Unis n’offrent pas un niveau de protection réel contre la surveillance des données transférées dans ce pays. Il demande donc à ce que ses données restent traitées en Europe.
Avant Snowden, le label de confiance de la Commission européenne
Problème, l'autorité de contrôle irlandaise a rejeté sa demande. Pourquoi ? La faute à une décision de 2000 de la Commission européenne. Un véritable bouclier qui, 13 ans avant Snowden, avait considéré que les États-Unis assuraient « un niveau adéquat de protection des données à caractère personnelle ». Par ce constat, Bruxelles faisait des États-Unis un « Safe Harbour », un port sûr où les informations des citoyens européens pouvaient donc être expédiées et traitées sans risque par les Facebook et autres aspirateurs à données personnelles.
Cette décision de 2000 fait suite à une directive 95/46/CE qui oblige les États membres à veiller à ce que les transferts de données à caractère personnel vers un pays tiers n'aient lieu que si le pays en question assure un niveau de protection adéquat.
Après Snowden, les États membres sont-ils toujours liés à ce label ?
Cependant, après l’affaire Snowden, la Commission européenne n’a pas revu sa décision de 2000. Elle s’est surtout contentée d’inviter les États-Unis à « rétablir la confiance dans les transferts de données (…) en réponse aux vives préoccupations suscitées par les révélations sur les programmes américains de collecte de renseignements à grande échelle, qui ont altéré les relations transatlantiques. »
Maximilian Schrems, ce citoyen autrichien, considère qu’aujourd’hui, les vannes ne peuvent plus rester ouvertes. L’affaire est donc remontée jusqu’à la High Court irlandaise qui a saisi la Cour de justice de l'Union européenne le 25 juillet dernier d’une question préjudicielle. La CJUE examine actuellement le dossier. Elle devra déterminer si oui ou non les États membres sont absolument liés par la constatation de la Commission du 26 juillet 2000, et peuvent du coup fermer les frontières dans le traitement des données personnelles.
Une longue lutte contre Facebook
Maximilien Schrems, étudiant en droit, a déjà été à l’origine de plusieurs fronts contre le réseau social, regroupés au sein de l’initiative Europe vs Facebook. C’est lui qui, par curiosité, avait réclamé de l’entreprise américaine la communication de ses informations et données personnelles. Facebook lui avait alors adressé un CD-Rom abritant un PDF de 1200 pages. Il y retrouvait l’ensemble de ses « like », de ses « pokes », ses discussions privées, etc. et même les contenus qu’il pensait avoir supprimés. C’est encore lui qui a initié en Autriche une sorte d’action de groupe contre Facebook qui a fédéré plus de 25 000 personnes. Il reproche au réseau américain l’absence de consentement effectif pour l’exploitation de données, la participation au programme Prism, le pistage des internautes, par exemple au travers des « J’aime » ou encore le transfert de données vers des applications tierces.