Chronique Internet

Un franc-tireur autrichien fait mouche à Dublin

d'Lëtzebuerger Land vom 20.04.2018

Un arrêt de la Haute Cour de la République d’Irlande annoncé il y a quelques jours remet en cause de délicats arbitrages intervenus entre les États-Unis et l’Union européenne sur les flux de données privées entre les deux entités. Intervenant en plein milieu des remous causés par les révélations sur la négligence de Facebook en matière de protection des données de ses utilisateurs et alors que le Règlement général sur la protection des données de l’UE (connu sous son acronyme anglais GDPR) entre en vigueur le 25 mai prochain, cet arrêt est un coup de pied de plus dans la fourmilière de la « privacy ». Cet arrêt intervient suite à une plainte du jeune avocat et militant autrichien Max Schrems, qui avait déjà enregistré auparavant une victoire dans sa lutte pour une meilleure protection des données privées. Il pourrait forcer les autorités des deux côtés de l’Atlantique et les géants du Net à repenser de fond en comble leurs arrangements en matière de circulation et de stockage des données des citoyens – certains vont jusqu’à dire qu’il pourrait in fine remettre en cause les modèles d’affaires des Gafa.

Pour suivre ces affaires, il faut s’armer de patience et démêler un écheveau complexe de renvois entre juridictions nationales et européennes. Stephanie Bodoni, qui suit pour Bloomberg les affaires juridiques européennes, raconte comment l’étudiant en droit Max Schrems avait découvert en 2011, lors d’un échange à l’Université de Santa Clara, non loin de Silicon Valley, le dédain des Gafa pour les préoccupations européennes en matière de protection des données. Épluchant les conditions d’utilisation de Facebook, il avait constaté l’incompatibilité de ses pratiques en matière de transfert de données entre l’UE et les États-Unis avec les règles européennes et avait porté plainte contre le réseau social en Irlande, où se trouve son siège européen. De fil en aiguille, l’affaire a abouti devant les juges de la CJUE où Schrems a eu gain de cause. C’est cette victoire qui avait débouché sur la négociation à l’arraché en 2016 de l’accord dit « Privacy Shield » entre les deux entités, en remplacement de l’accord précédent appelé « Safe Harbour ». Censé régir les conditions suivant lesquelles les firmes américaines sont habilitées à gérer les données de leurs utilisateurs européens repose sur des pieds d’argile : c’est ce que vient de mettre en lumière la décision de la Haute Cour irlandaise.

Suivant le destin de cet arrêt devant la CJUE, à laquelle il ne manquera pas d’être soumis, le « Privacy Shield » risque désormais de devenir caduc à son tour. La question qui se pose est en particulier celle de la compatibilité des contrats privés dit SSC (standard contractual clauses), utilisés par les grands groupes pour régir les échanges de données entre pays de l’UE et pays tiers tout en garantissant la protection requise par la législation de l’Union, avec la Charte européenne des droits de l’homme, en particulier ses articles 7 et 8 qui protègent le droit des citoyens de l’Union à une vie privée et le caractère privé de leurs données personnelles.

Dans l’absolu, on pourrait imaginer que le scénario d’il y a deux ans se répète, c’est-à-dire qu’après avoir constaté le caractère illégal des dispositions du « Privacy Shield », les instances commerciales des deux blocs économiques ficellent vite fait un nouvel accord. Mais après le scandale Facebook/Cambridge Analytica, qui fait douter de la légitimité de décisions démocratiques comme les élections présidentielles américaines ou le référendum sur le Brexit, et avec l’entrée en vigueur du GDPR, qui prévoit notamment la possibilité de plaintes de type « class action suit » en matière de protection des données, il ne sera plus aussi aisé d’accommoder les besoins des Gafa en matière de transfert de données personnelles. Et ce n’est pas fini : Max Schrems et son initiative noyb (« none of your business ») a d’autres plaintes relatives à la protection des données dans sa manche, qu’il entend introduire dès l’entrée en vigueur du GDPR.

Jean Lasar
© 2024 d’Lëtzebuerger Land