Un coup de pouce d'un tribunal européen pour un militant dans la lutte contre le transfert de données sur Facebook

Les régulateurs de l'UE doivent faire plus d'efforts pour empêcher les entreprises technologiques de transférer des données vers des pays où les normes de protection des données sont plus faibles, a déclaré jeudi un conseiller de la plus haute juridiction de l'Union européenne. Il s'agit de la dernière d'une affaire juridique longue et complexe impliquant un militant autrichien de la confidentialité et Facebook.

Un avis préliminaire de l'avocat général de la Cour de justice européenne a déclaré que les règles juridiques existantes de l'UE pour les transferts de données devraient rester en place, mais que les autorités devraient en imposer une application plus stricte. Cela donne un coup de fouet au militant de la vie privée Max Schrems, qui a lancé l'affaire il y a sept ans en raison des inquiétudes que les Européens étaient soumis à une surveillance de masse du gouvernement américain.

"Les entreprises vont momentanément pousser un soupir de soulagement" que l'UE maintiendra probablement le mécanisme juridique que de nombreuses entreprises utilisent désormais pour déplacer des données à travers le monde, a déclaré Caitlin Fennessy, directrice de recherche à l'International Association of Privacy Professionals. Mais elle a déclaré que l'avis laissait également place à des défis pour le transfert de données au cas par cas, si un pays est réputé ne pas disposer de protections adéquates.

Bien que l'affaire concerne Facebook, elle pourrait avoir des implications importantes pour les médias sociaux et d'autres sociétés de technologie qui transfèrent de grandes quantités de données sur Internet. Schrems a déclaré que l'affaire affectait potentiellement Google, Microsoft et toute autre entreprise américaine qui fournit des services de communications électroniques, mais pas les transferts de données entre des entreprises traditionnelles telles que les compagnies aériennes, les hôtels et les banques.

L'opinion de l'avocat général n'est pas contraignante mais peut influencer les juges de la cour lorsqu'ils rendront leur décision finale l'année prochaine, probablement en mars.

Il s'agit de ce que l'on appelle les "clauses contractuelles types", qui obligent les entreprises à respecter les normes strictes de l'UE en matière de confidentialité lors du transfert de messages, de photos et d'autres informations. Des entreprises comme Facebook déplacent régulièrement ces données entre ses serveurs à travers le monde, et les clauses – conditions générales de stock – sont utilisées pour garantir le respect des règles de l'UE lorsque les données quittent le bloc.

Schrems avait fait valoir que les clauses signifiaient que les autorités de chaque pays de l'UE pouvaient, conformément à la loi, suspendre les transferts si les données étaient envoyées quelque part avec des règles de confidentialité plus faibles.

L'avocat général Henrik Saugmandsgaard Oe a déclaré dans un avis préliminaire que les clauses contractuelles types sont valables, mais a ajouté qu'une disposition dans les clauses signifie que les entreprises et les régulateurs ont l'obligation de suspendre ou d'interdire les transferts en cas de conflit avec la loi dans un pays tiers. pays comme les États-Unis.

"Si la Silicon Valley veut avoir les données du monde entier, ce qu'elle fait, alors elle ne peut pas en même temps être soumise à des lois de surveillance qui n'ont fondamentalement aucun droit pour les étrangers", a déclaré Schrems.

Il a déclaré que l'avis confirme que "généralement les transferts de données sont très bien, à moins qu'il n'y ait une loi de surveillance spécifique dans un autre pays qui sape les protections européennes de la vie privée".

Schrems a déposé sa plainte initiale en 2013 au motif que les données n'étaient pas suffisamment protégées contre la survie secrète des autorités gouvernementales américaines. Sa plainte faisait suite à des révélations de l'ancien sous-traitant de la NSA, Edward Snowden, sur la surveillance électronique par les agences de sécurité américaines, y compris la révélation que Facebook avait donné aux agences accès aux données personnelles des Européens.

Schrems, préoccupé par le fait que ses informations personnelles étaient en danger, avait contesté les transferts de données par les tribunaux irlandais, où se trouve le siège européen de Facebook.

La Commission irlandaise de protection des données a tenté de contourner le problème en faisant valoir que les clauses étaient juridiquement invalides. La commission a finalement renvoyé l'affaire devant la CJUE basée à Luxembourg, la plus haute juridiction de l'UE.

Facebook, qui avait fait valoir que la surveillance américaine ne violait pas les lois de l'UE sur la confidentialité, a déclaré qu'il était reconnaissant de l'avis.

"Les clauses contractuelles types fournissent des garanties importantes pour garantir que les données des Européens sont protégées une fois transférées à l'étranger", a déclaré la société Menlo Park, Californie, dans un communiqué.

Google, Apple et Microsoft n'ont pas renvoyé immédiatement de demandes de commentaires.

La Commission irlandaise de protection des données a déclaré que l'avis apportait une "clarté d'analyse". Le porte-parole Graham Doyle a déclaré que cela montrait les complexités qui se posent lorsque les lois de l'UE sur la protection des données interagissent avec les lois d'autres pays.

Les experts juridiques ont déclaré que les entreprises seraient soulagées que l'avis valide les pratiques juridiques actuelles en matière de transfert de données.

"L'alternative serait tout à fait un revirement", a déclaré Elliot Fry, un associé principal du cabinet d'avocats britannique Cripps Pemberton Greenish. "Cela aurait exigé beaucoup de bouleversements en ce qui concerne les transferts internationaux. C'est donc de loin l'aspect le plus important de cela."

© 2019 The Associated Press. Tous les droits sont réservés.