Schrems vs Facebook: David semble avoir vaincu Goliath

Facebook, c'est plus de 2.45 milliards d'utilisateurs dans le monde et un nombre hallucinant de données à caractère personnel. Pourtant, personne n'est sans savoir que toutes ces données n'ont strictement plus rien de "personnel" dès l'instant où elles sont en possession de ce géant américain. La protection de la vie privée sur Facebook n'existe tout simplement pas. Et c'est contre cela que Max Schrems, juriste autrichien, se bat depuis 8 longues années. Il plaide pour une réelle protection de la vie privée et des données personnelles équivalente en Europe et aux Etats-Unis.

Retour en 2011

En 2011, Max Schrems se rend compte que Facebook adopte une interprétation de la loi loin d'être correcte. Il demande alors à recevoir une copie de toutes les données que le réseau social possède à son sujet. Résultat ? Un dossier de 1222 pages reprenant des données pourtant supprimées de son compte.

La plainte transmise à l'autorité de protection des données irlandaises est jugée insuffisante pour que l'autorité ne réagisse. Il faudra attendre deux années supplémentaires pour que, à la suite de révélations sur les surveillances pratiquées par la NSA (National Security Agency), Facebook ne soit à nouveau pointé du doigt pour sa gestion douteuse des données.

Remise en cause du Safe Harbor

Le Safe Harbor est un accord passé en 2000 entre la Commission européenne et le département du Commerce des Etats-Unis qui vise à encadrer le transfert de données vers les Etats-Unis en garantissant "un niveau de protection adéquat". De nouveaux recours sont alors intentés auprès de différentes autorités de protection des données. Des plaintes sont posées contre Apple et Facebook, en Irlande, mais également contre Skype, au Luxembourg, et Yahoo en Allemagne. La plainte contre Facebook remonte jusqu'à la Cour de Justice de l'Union Européenne et celle-ci invalide purement et simplement le Safe Harbor.

C'est le "moment Tchernobyl du débat sur la vie privée", pour reprendre les termes de Max Schrems. En effet, à la suite de la décision de la CJUE, il n'existait donc plus d'accord-cadre. Cela signifiait, de facto, la naissance d'une certaine insécurité juridique pour les entreprises américaines. En conséquence, le Parlement Européen a intensifié la renégociation du Safe Harbor, en chantier depuis 2014 pour donner naissance au bien connu Règlement Général sur la Protection des Données à caractère personnel (RGPD), entré en vigueur le 25 mai 2018.

Et ensuite ?

Un des principes du RGPD est de ne pas transférer de données à caractère personnel vers un pays tiers qui n'offre pas le même niveau de protection. Toutefois, le RGPD prévoit que dans certains cas la Commission Européenne puisse prendre des décisions permettant de passer outre ce principe. Ce qui a notamment été le cas lors de la mise en oeuvre du Safe Harbord. L'établissement de clauses standards constitue également un moyen de transférer des données vers un pays tiers.

De nombreux efforts ont été fournis lros de l'adoption de ce Règlement européen mais les formulations, trop vagues, laissent encore énormément de place aux interprétations. Le problème des pratiques de surveillances aux Etats-Unis n'est, lui non plus, pas réglé. Succédant au Safe Harbord, le Privacy Shield, entré en vigueur le 1er août 2016, n'apporte pas de solution miracle contre la collecte indiscriminée de données; pas plus qu'à l'utilisation qui en est faite au profit de l'espionnage américain. Une fois encore, les termes choisis sont à géométrie variable et les impératifs de "sécurité nationale" ne sont que trop souvent invoqués pour justifier la collecte des données et la surveillance de masse.

Décisions juridiques

En décembre 2019, l'avis de l'Avocat Général de la CJUE Saugmandsgaard Øe, était donc très attendu dans la suite de l'affaire Schrems VS. Facebook. Dans le cas d'espèce, la question du transfert de données ainsi que la protection à l'égard de celles-ci se pose dans le cadre de la relation entre Facebook Irlande et Facebook US. Il est ressort de l'avis de l'Avocat Général que le transfert de données en dehors de l'Union européenne basé sur des clauses contractuelles standard n'est pas illicite en soi, à condition toutefois que l'exportateur de données soit en mesure de garantir le respect des intérêts fondamentaux des citoyens européens. Or, la Cour a statué dans le cadre d'une décision antérieure que tel n'était pas le cas pour les Etats-Unis, ces derniers n'offrant pas de mesures de protection similaires à celles de l'Europe.

Les derniers rebondissements

Ce jeudi 16 juillet 2020, la CJUE s'est prononcée et a annulé le Privacy Shield. Les clasues contractuelles standards, quant à elles, restent en principe valables. Il n'en revient pas moins à l'exportateur de données de vérifier que la règlementation du pays de destination de ces données offre les mêmes garanties. Dans l'arrêt de la Cour, elle estime que, dès lors que les clauses contractuelles standards ne pouvaient réellement être appliquées et, ipso facto, les données transférées suffisamment protégées, il incombe alors aux autorités de contrôle de suspendre ou d'interdire un tel transfert. La Cour a donc déclaré d'une part que Facebook ainsi que des entreprises similaires ne pouvaient se cacher derrière de telles clauses et, d'autre part, que les autorités de contrôle devaient avoir un rôle actif et prendre des mesures concrètes en vue de faire respecter le RGPD. La Cour a également clairement indiqué que les lois américaines sur la servaillance sont en contradiction avec les droits fondamentaux d'application au sein de l'Union européenne, ce qui empêche de facto le respect des mêmes garanties par les Etats-Unis.

Conclusions

Il revient de ce fait aux entreprises européennes ayant recours à des fournisseurs américains de prendre conscience de l'impact que peut avoir un tel choix. En guise d'exemple, une société qui utilise un logiciel SaaS avec un CRM hébergé ou géré aux Etats-Unis ne peut plus se contenter d'arborer une clause contractuelle standard pour justifier de sa conformité au RGPD. Il est essentiel que ces clauses puissent être respectées en pratique, ce qui n'est que trop rarement le cas étant donné le nombre d'entreprises américains qui échappent aux lois de surveillance. Toutes ces entreprises qui relèvent des lois américaines sur la surveillance ne peuvent valablement avoir recours à l'option contractuelle des clauses standards prévues par le RGPD dès lors que la législation américaine les oblige à les enfreindre. Il est indéniablement préférable pour les entreprises européennes de collaborer avec des entreprises qui respectent les mêmes règles qu'elles et qui ont les mêmes valeurs: celles qui prônent le respect de la vie privée !