Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Facebook toujours dans la tourmente. Les transferts de données vers les États-Unis plus que jamais dans le brouillard

Publié le par

On sait que dans le cadre du conflit entre M. Schrems et Facebook, la justice européenne a invalidé les safe harbour. Le plaignant ne s’arrête pas là et remet en cause les autres filets de sécurité mis en place par le réseau social (clauses type). Embêtée, la CNIL irlandaise a décidé de transmettre le dossier à la Cour de justice de l’Union européenne.

Safe harbor, clauses types, BCR ?

La directive de 1995 stipule que : « Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. » (Note : cette directive sera remplacée d’ici deux ans par le nouveau règlement européen en la matière, mais dans l’intervalle c’est toujours elle qui fixe les principes applicables transposés dans les lois nationales)

Les transferts en dehors de l’Union européenne sont donc interdits par principe. Ils ne peuvent avoir lieu que si le pays de destination assure un niveau de protection adéquat. Les bénéficiaires de ce label se comptent sur les doigts des deux mains.

Les sociétés qui devaient transférer des données vers des pays qui ne figurent pas sur la liste des heureux élus (par exemple une banque qui dispose d’établissements ailleurs dans le monde), devaient se tourner vers d’autres systèmes :

·         Clauses types ;

·         BCR.

Les BCR (abréviation de binding corporate rules) sont des codes de conduite internes à une entreprise ou un groupe d’entreprises, qui définissent la politique du groupe en matière de données personnelles. Grâce aux garanties qui sont inscrites dans ce code de conduite, on crée une sorte de zone de libre-échange de données au sein du groupe de sociétés.

Les clauses types sont des modèles de contrat qui unissent celui qui envoie les données et celui qui les reçoit, et qui prévoient un ensemble de règles destinées à combler le manque de protection des données personnelles dans le pays dans lequel elles sont envoyées.

Les clauses types et les BCR sont des systèmes qui peuvent potentiellement s’appliquer à tous les pays du monde.

En raison de l’importance du commerce transatlantique, l’Union européenne et les États-Unis ont, en outre, mis en place un troisième schéma spécifique pour les flux vers les États-Unis. C’est ce que l’on appelle les Safe harbor.

Plus d’infos ici.

Annulation des safe harbor

En octobre 2015, dans le cadre du litige opposant M. Schrems (citoyen autrichien) et Facebook, la justice européenne a décidé d’annuler purement et simplement le safe harbor.

La Cour a relevé que le safe harbor est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises. En outre, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences. Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences.

La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission, d’où il ressort notamment que les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Commission a constaté qu’il n’existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant, notamment, d’accéder aux données les concernant et, le cas échéant, d’obtenir leur rectification ou leur suppression.

Plus d’infos ici.

3 moins 1 n’est pas égal à 2

Pince-mi et pince-moi sont dans un bateau ; pince-mi tombe à l’eau. Qui reste à bord ? On a 3 systèmes qui permettent de s’affranchir de l’interdiction au départ (BCR, clauses types et safe harbor). La cour de justice en annule 1. Les mathématiques élémentaires diraient qu’il en reste 2 : BCR et clauses types.

C’est ce que se sont dit les sociétés multinationales qui avaient pris soin de doubler le safe harbor d’un autre filet de sécurité. Facebook est dans ce cas. La société disposait non seulement des safe harbor, mais aussi des clauses types. On sait que les maths et le droit ne font pas toujours bon ménage, et cela se vérifie une fois ici. 3 moins 1 n’est forcément égal à 2.

En effet, fondamentalement parlant, le grief que la cour adresse au safe harbor et de ne pas lier les autorités américaines.

Il s’agit d’un système mis en place par des acteurs privés, qui n’ont évidemment pas le pouvoir de s’affranchir du droit américain applicable. En d’autres termes, si le droit américain prévoit que n’importe qu’une agence gouvernementale peut arriver à l’improviste dans une société et se faire remettre copie des données personnelles, toutes les déclarations et les contrats que ladite société aurait pu passer avec des sociétés européennes, sont sans effet. C’est la loi qui prime.

Or, ce grief peut tout aussi bien être adressé aux BCR et aux clauses types.

Derrière l’arrêt de la cour, on perçoit non seulement une critique du système mis en place par la directive mais aussi (surtout ?) du droit américain applicable qui n’offre vraiment aucune protection efficace aux citoyens européens dont les données ont été transférées.

Dans un attendu, elle estime en effet que qu’une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé ; et aussi qu’une règlementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l’existence d’un État de droit.

Dans l’attente du privacy shield

C’est bien par ce que tout le monde sait qu’il y a un gros problème, que les responsables politiques se sont invités au dossier.

Le privacy shield actuellement négocié entre l’Union européenne et le gouvernement américain est censé prendre le relais.

Plus d’infos ici.

Le combat contre Facebook continue

En attendant, M. Schrems ne lâche rien : il estime que les clauses types mises en place par Facebook souffrent du même problème que le safe harbor, et il exige l’arrêt des transferts à tout le moins dans l’attente du privacy shield.

Jadis, la CNIL irlandaise avait traité M. Schrems avec un certain dédain. Elle avait rejeté sèchement ses prétentions et, on l’a vu, s’était fait retoquer par la Cour de justice au point que le safe Harbor a été.

Un âne ne bute jamais deux fois sur la même pierre : la CNIL irlandaise a décidé de transmettre le dossier à la cour de justice, qui devra décider si les griefs qu’elle a formulés à l’égard du safe Harbor valent également pour les clauses types.

Derrière cette question préjudicielle, il y a peut-être un plan. La CNIL irlandaise, comme toutes ses consœurs européennes, est très embêtée. D’un côté, la critique du safe Harbor peut probablement être également formulée à l’égard des clauses types. M. Schrems a probablement raison sur le fond. Mais d’un autre côté, il est difficile d’imposer aux entreprises qui se sont légitimement fiée au système, d’arrêter du jour au lendemain les flux de données. Au-delà du cas de Facebook, ce serait un véritable cataclysme sur le commerce mondial. Le renvoi du dossier à Luxembourg permet de gagner environ deux ans … sans rien décider dans l’intervalle. D’ici là, le privacy shield aura été finalisé et le nouveau règlement européen sur les données à caractère personnel sera entré en vigueur.

Plus d’infos ?

En consultant le site de référence : GDPR-expert.eu

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK