Max Schrems
Son nom ne vous dit peut-être rien, mais vous êtes très probablement concernés par son travail. Découvrez qui est cet homme qui a fait trembler les GAFA et fait tomber un accord USA-UE datant de 2000.
Rien ne prédestinait cet étudiant en droit autrichien à une telle destinée. Mais en 2011, alors qu’il avait demandé (et obtenu) de Facebook la totalité des données que la société détenait sur lui, il se rend compte que des informations qu’il avait pourtant effacées du réseau social était encore en possession du géant américain.
Round 1
Fort d’une précédente victoire rendue par les juridictions autrichiennes1, il assigne en 2014 Facebook devant la justice de son pays. Schrems lui reproche de ne pas respecter la législation européenne relative à la protection des données à caractère personnel, ainsi que de participer activement au programme de surveillance américain Prism. 25000 autres personnes se joignent à lui pour mener une class-action, qui existe en droit autrichien.
En défense, Facebook soulève l’incompétence territoriale de la juridiction de première instance. En effet, son siège européen est en Irlande et non en Autriche. Cet argument sera repoussé par le tribunal en deux paragraphes savoureux que je vous invite à lire (pages 46 et 47 de la décision rendue) :
- la clause des conditions générales d’utilisation de Facebook attribuant la compétence territoriale à l’État de Californie est nulle et non avenue dans l’Union Européenne en vertue (notamment) des articles 16 et 17 du Règlement n°44/2001 du Conseil de l’UE (2000-12-22), qui permettent à chaque citoyen européen de saisir les instances de son pays de domicile et rendent les décisions exécutoires dans l’ensemble de l’UE (je simplifie beaucoup) ;
- même en laissant de côté ce Règlement du Conseil de l’UE, le tribunal ajoute que le choix de Facebook serait probablement aussi illégal en Californie. De plus, une décision rendue par une juridiction américaine ne serait pas applicable à Facebook Irlande (et donc l’UE).
Round 2
Je vous épargne les détails de la procédure, mais quoi qu’il en soit le dossier a fini au rôle de la Cour Suprême d’Autriche. Cette dernière, avant de rendre sa décision, a sollicité la Cour de Justice de l’Union Européenne. Nous autres non-juristes appelons ça « refiler la patate chaude ».
La CJUE s’est donc interrogée sur la compétence territoriale, sur les droits dont jouit Max Schrems (est-il devenu un « marchand de Droit » avec la class-action, plutôt qu’un client), mais surtout sur le fond de l’affaire : la protection des données personnelles des citoyens européens. Et en particulier, Facebook a-t-il le droit d’exporter nos DCP aux États-Unis ?
Directive 95/46/CE, et le Safe Harbor
D’une manière générale, la réponse à cette question se trouve dans la Directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en 1998. Cette Directive impose des critères minimaux de sécurité (et notamment confidentialité) que doit respecter un pays hors EEE pour héberger des DCP de citoyens européens.
Les USA, de leur côté, ont également un cadre juridique pour la protection des données personnelles, avec toutefois une approche différente comme les révélations d’Edward Snowden nous l’ont appris.
Entre 1998 et 2000, le département américain du Commerce et la Commission Européenne ont travaillé sur un cadre légal permettant aux sociétés américaines d’exporter des DCP de l’UE vers les USA : le Safe Harbor.
Au risque de spoiler un prochain billet, ce cadre a été invalidé par la CJUE le 6 octobre 2015, au motif que la législation américaine ne garantit pas un niveau de sécurité des données personnelles équivalent ou supérieur à celui de l’EEE.
-
Max Schrems avait poursuivi une société qui installait des caméras capturant l’espace public, ce qui est interdit en Autriche. ↩︎