Les flux de données personnelles vers les États-Unis de retour devant la justice européenne

L’invalidation du Safe Harbor, accord qui permettait à titre principal de transférer outre-Atlantique les données personnelles d’Européens, poursuit ses effets telluriques. Désormais, ce sont les clauses contractuelles types visant ce même objet qui sont prises pour cible.

Il y a presque deux ans, le 6 octobre 2015, un coup de semonce retentissait dans le ciel européen. La Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor.

Depuis 2000, avec ce label de confiance signé entre la Commission européenne et les États-Unis, les entreprises installées au pays de l’Oncle Sam pouvaient gloutonner les données personnelles des citoyens européens. Selon Bruxelles, ce pays offrait en effet des garanties équivalentes à celles en vigueur sur le Vieux continent.

Le château de cartes s’est effondré avec les révélations Snowden, qui ont démoli ces convictions forgées quinze ans plus tôt. Face à l’ampleur de la surveillance, la CJUE a sans hésité invalidé l’accord du « port sûr » non sans avoir fusillé les naïvetés de la Commission.

Outre le Privacy Shield, d'autres voies pour les flux de données 

La procédure avait été lancée par un étudiant Autrichien, Maximilien Schrems, qui s’était inquiété du faible niveau de protection des données exportées par Facebook Irland vers Facebook Inc. Depuis, on le sait, un autre accord a été adopté en remplacement. C’est le Privacy Shield, d’ailleurs lui aussi contesté notamment par la Quadrature du Net, FDN et FFDN.

Juste après cet arrêt, la Commission européenne a tenté de freiner le vent de panique. Elle avait prôné la poursuite des flux de données puisque d’autres voies que le Safe Harbor et son successeur existent pour assurer le même transfert. Parmi elles, les accords d’entreprise (BCR) et les clauses contractuelles types (CCT).

Une analyse partagée au même moment par le G29, le groupe des autorités de contrôle présidé par Isabelle Falque-Pierottin : « Le G29 considère que les autres mécanismes juridiques de transfert peuvent encore être utilisés par les entreprises, écrivait-il  avec assurance en février 2016. Par conséquent, les entreprises peuvent recourir aux Binding Corporate Rules (BCR) et aux clauses contractuelles types adoptées par la Commission européenne (clauses de responsable de traitement à responsable de traitement et clauses de responsable de traitement à sous-traitant) ». 

Un problème persistant qui sera ausculté par la CJUE

Seulement, Maximilien Schrems, celui-là même à l’origine de l’invalidation du Safe Harbor, vient de gagner une nouvelle étape décisive auprès des juridictions irlandaises.

La Haute cour a décidé en effet de poser une série de questions préjudicielles, bientôt précisées, à la Cour de justice de l’Union européenne. Il s’agira de déterminer si ces CCT utilisées notamment par Facebook Irlande et Facebook Inc. sont bien d’aplomb au regard du droit européen.

Hier, suivant l’autorité de contrôle des données personnelles, la justice irlandaise a déjà exprimé des doutes quant à leur solidité au regard de plusieurs articles de la Charte sur les droits fondamentaux, en particulier le droit à un recours effectif et le respect de la vie privée. Après ce jugement de 152 pages, une série de questions préjudicielles va donc être posée à la CJUE.

La décision du juge Caroline Costello n’a pas laissé insensible la Business Software Alliance. L'organisation a exprimé quelques craintes en rappelant que ces clauses sont « primordiales » pour garantir ces flux hors de l’Europe. Elles « fournissent chaque jour la base juridique à des millions de transferts de données non seulement aux États-Unis mais aussi dans de nombreux autres pays comme le Brésil ou le Japon ».