La plainte de l'association Europe Vs Facebook devra être portée devant la justice européenne pour qu'elle puisse aboutir. La Haute Cour d'Irlande souhaite que la Cour de justice de l'Union Européenne se prononce au sujet d'une plainte formée à l'encontre des pratiques supposées de Facebook en matière d'échanges de données avec la NSA.
Le parcours de Max Schrems et de son association Europe Vs Facebook contre le réseau social va donc pouvoir continuer. Après avoir attaqué la société américaine quant à la création de « profils fantômes » de personnes non-inscrites, cet internaute autrichien avait reproché à Facebook d'avoir communiqué à la NSA des informations sur ses inscrits, notamment dans le cadre du programme Prism.
L'association avait donc tout d'abord instruit une demande auprès de la Data Protection Commissioner (DPC), l'équivalent de la Cnil en Irlande. Le choix de cette autorité en particulier n'est pas anodin puisque c'est dans ce même pays que se situent les locaux du QG européen de Facebook.
La DPC avait refusé d'enquêter sur la légalité de l'échange de données personnelles entre un service basé en Europe et dont les informations sont stockées dans cette même région avec les Etats-Unis. Pour l'autorité, le plaignant ne pouvait pas prouver que ses informations ont bel et bien été utilisées ou collectées par une autorité située à l'étranger.
Revoir le principe du Safe Harbor
Face à ce refus, la Haute Cour d'Irlande a été saisie. Cette dernière vient de décider que l'internaute n'avait pas à prouver l'existence d'une utilisation non-autorisée de ses informations personnelles. Au contraire, elle précise dans sa décision (.pdf) qu'il dispose du droit : « de s'opposer à ce que ses données soient transférées vers une juridiction qui, à toutes fins utiles, ne semble offrir qu'une protection limitée face à l'ingérence d'autorités présentes aux États-Unis ».
Elle s'en remet donc à la Cour de Justice de l'Union européenne pour savoir si Facebook a violé ou non le principe dit du Safe Harbor. Celui-ci autorise sous certaines conditions des entreprises américaines à transférer des données personnelles présentes en Europe vers leur territoire. Rappelons que ce texte date de 2000, période à laquelle le nombre d'informations en ligne n'était pas si conséquent.
La Haute Cour d'Irlande considère en effet que seule la CJUE est compétente pour revoir les termes du Safe Harbor. Dans ce cas, elle devra revoir de fond en comble ce régime et obliger ainsi l'ensemble des entreprises américaines transférant des données depuis l'Europe à revoir leurs méthodes.
Pour aller plus loin