Invalidation du Safe Harbor – Un résumé pour mieux comprendre l’initiative de Max Schrems

Max Schrems, dont la croisade contre le réseau social avait débuté alors qu’il était encore étudiant, accuse entre autres Facebook Ireland Ltd., la base européenne de l’entreprise, d’enfreindre le droit européen sur l’utilisation des données, et de participer au programme de surveillance Prism de la NSA, l’Agence de sécurité nationale américaine.

Toutes les données sont conservées
Au cours de ses études de droit, Max Schrems avait pu accéder à une compilation de ses données personnelles, soit 1 222 pages qui répertorient toutes ses activités sur Facebook, y compris ce qu’il pensait avoir supprimé. Le Viennois avait accusé en août 2011 le réseau social de détention abusive de données personnelles, déposant un recours comportant 22 réclamations devant l’Autorité de protection de la vie privée en Irlande (DPC), où l’entreprise américaine a son siège social européen. La DPC avait donné raison à l’étudiant et demandé à Facebook de clarifier sa politique sur les données privées.

Octobre 1987 : Naissance de Maximilian Schrems

08/2011 : Recours comportant 22 réclamations devant l’Autorité de protection de la vie privée en Irlande (DPC), où l’entreprise américaine a son siège social européen. La DPC avait donné raison à l’étudiant et demandé à Facebook de clarifier sa politique sur les données privées.

01/08/2014 : Dépôt par Maximilian Schrems devant le tribunal de commerce de Vienne d’un recours collectif contre Facebook ayant réuni 25 000 plaignants demandant chacun 500 euros de dommages et intérêts en réparation de l’utilisation présumée illégale de leurs données personnelles.

L’initiative « Europe vs Facebook » dirigée par Max Schrems réclame que le plus grand réseau social au monde « se mette enfin en conformité avec le droit, en ce qui concerne la protection des données ».

01/07/2015  : Rejet de la plainte contre Facebook. La cour a estimé qu’elle était irrecevable dans la forme et s’est déclarée incompétente sur le fond.

06/10/2015 : Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation  » Safe Habor  » permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé.
En conséquence, il n’est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.
La CNIL examine actuellement avec ses homologues au sein du G29 les conséquences juridiques et opérationnelles de cet arrêt. Des informations complémentaires seront mises en ligne très prochainement.

Accéder au jugement

La Cour européenne de justice pourrait-elle remettre en cause ce safe harbor ?
Tout est ouvert. La Cour peut limiter son jugement à la question préjudicielle posée ou lui donner une portée plus large, en se fondant sur l’article 8 de la Charte européenne des droits fondamentaux sur la protection des données à caractère personnel. L’avocat général Yves Bot est réputé pour appliquer le droit à la lettre, alors que le juge rapporteur, Thomas von Danwitz, est plutôt du côté des libertés civiles. Il est donc possible que la Cour ne suive pas l’avis de l’avocat général comme ça été le cas à propos de la rétention des données

Quelles pourraient être les solutions?
Il y a deux options. Dans un premier cas, les entreprises impliquées dans la surveillance de masse, Google, Microsoft, Facebook, Yahoo… ne pourraient plus transférer les données vers leurs data centers aux Etats-Unis, ce qui porterait un sérieux coup à leur business model. La question s’est déjà posée à propos de Swift, le système international de messagerie bancaire. La solution avait été de stocker les données européennes dans un data center en Suisse, ce qui les plaçaient hors de la juridiction américaine. Ce pourrait être une solution pour Microsoft et d’autres qui ont de toute façon déjà des centres en Europe, même s’il n’est pas facile à mettre en place techniquement.

Dans un second cas, les juges pourraient prendre en compte les autres mécanismes existants, en dehors du safe harbor, comme les clauses contractuelles dans lesquelles les entreprises s’engagent individuellement à respecter la législation européenne sur les données. C’est ce que fait EBay par exemple, qui n’est pas couvert par le safe harbor.

Quel serait l’impact pour les entreprises du net ?
Actuellement, les entreprises sont entre deux chaises : les autorités américaines exigent l’accès à toutes les données d’un côté et les Européens de l’autre, qui disent “non”. Elles suivent les exigences américaines parce que les conséquences juridiques d’un refus sont immédiates, alors que du côté européen, tout ce qu’elles risquent est un courrier…

A long terme, les entreprises ont intérêt à ce que cette question de juridiction soit résolue. Pour des raisons structurelles, elles tombent à la fois sous le coup de la législation américaine, parce que ce sont des entreprises américaines, et sous la juridiction irlandaise, indienne,… parce qu’elles y sont établies pour des raisons fiscales. Tout le monde a donc intérêt à ce que la Cour tranche.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Sources :
http://rue89.nouvelobs.com/2015/10/06/surveillance-max-schrems-heros-tres-discret-a-lombre-snowden-261526
http://www.lemonde.fr/pixels/article/2014/08/07/maximilian-schrems-le-but-est-de-faire-respecter-a-facebook-la-legislation-europeenne_4468090_4408996.html
http://www.usine-digitale.fr/article/rencontre-avec-le-juriste-qui-a-porte-plainte-contre-facebook-et-force-l-europe-a-trancher-sur-la-surveillance-de-masse.N351697