Rappel du contexte : l’invalidation du Safe Harbor
Un étudiant en droit autrichien (Maximillian Schrems) a entrepris une action relative au transfert systématique par Facebook de ses données vers les serveurs aux USA. Ce transfert était protégé en application du droit européen par la certification Safe Harbor du réseau social.
La Cour de justice de l’Union européenne (CJUE) a jugé, le 6 octobre 2015 que la décision de la Commission européenne approuvant le Safe Harbor entre les Etats-Unis et l’Union européenne était « invalide » (Voir notre article La CJUE invalide le programme de sphère de sécurité dit Safe Harbor et les autres articles sur le sujet). A savoir donc que le Safe Harbor ne peut dorénavant plus être utilisé par quelque que société que ce soit pour transférer des données personnelles vers les USA.
Cette décision a notamment été motivée par les révélations sur les agissements des services secrets américains.
La conséquence immédiate de la décision de la CJUE est que de nombreuses sociétés ont dû, dans l’urgence, mettre en place un des modes alternatifs de protection pour les flux de données et, principalement la signature de clauses types adoptées par la Commission Européenne. Ceci est notamment le cas pour Facebook.
Par ailleurs des discussions sont en cours pour approuver une nouvelle version du Safe Harbor qui est désignée sous le terme Privacy Shield (voir nos articles : Les éléments du Privacy Shield (Bouclier de la vie Privée) dévoilés et Attention : avis du G29 sur le Privacy Shield).
Possible action concernant les clauses types
Certains journaux (comme le Financial Times) et blogs spécialisés ont annoncé fin mai que l’autorité de protection des données personnelle Irlandaise envisage de renvoyer l’affaire devant la CJUE pour que celle-ci se prononce sur la possibilité pour le réseau social de continuer à transférer les données vers les USA sur la base des clauses types.
Les inquiétudes sont grandes, car les raisons qui ont poussé à l’invalidation du Safe Harbor ne tiennent pas qu’à la façon dont ce programme était structuré, mais aussi à l’impuissance face à l’action des services secrets américains.
Or, sur ce dernier point les clauses types n’apportent pas non plus de remède. Raison pour laquelle d’ailleurs le G29 avait fait savoir qu’il « poursuit son analyse de l’impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types) » et que les autorités de protection des données nationales se réservent la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir.
Si l’autorité Irlandaise transmet effectivement la question à la CJUE, le G29 et la Commission européenne perdront le contrôle de cette question dont les enjeux sont pourtant phénoménaux.
La décision que pourra prendre la CJUE pourra affecter le transfert de données vers les USA (toute décision prise affectera nécessairement aussi le Privacy Shield) mais aussi plus généralement tous les transferts de données hors de l’UE.
A suivre.
Contact : Stephanie.faber@squirepb.com