A La Haute Cour de justice irlandaise a réclamé mardi une décision de la Cour de Justice de l’Union européenne (CJUE) sur la capacité du régulateur irlandais à suspendre ou interdire le transfert vers les Etats-Unis de données personnelles d’utilisateurs de Facebook en Europe.
«Seule une décision de la CJUE peut empêcher des applications incohérentes» entre les pays européens des réglementations encadrant le transfert de données vers des pays tiers, a déclaré la Cour. «J’ai donc décidé de demander à la Cour de Justice (de l’Union européenne) de rendre une décision préliminaire», a annoncé la juge Caroline Costello.
Cette demande de la Haute Cour irlandaise survient dans le cadre de l’action intentée par un juriste autrichien, Max Schrems, contre le réseau social américain dont le siège social européen est basé à Dublin. M. Schrems s’était plaint auprès de la DPC (Commission nationale irlandaise de protection des données) de l’usage fait par Facebook des clauses contractuelles types (CCT), qui permettent le transfert légal des données de citoyens de l’UE, étant entendu qu’elles offrent une «protection adéquate» quant à leur confidentialité.
A l’issue de l’audience, M. Schrems a déclaré ne pas chercher à «faire cesser l’ensemble des transferts de données, car 90% d’entre eux ne posent pas de problème». Il a dit se concentrer seulement sur les entreprises «impliquées dans la surveillance de masse». Il avait entamé son action en arguant que les États-Unis n’offrent pas de garanties suffisantes de respect de la vie privée. L’Irlande est concernée en premier lieu car c’est de son territoire qu’une filiale de Facebook transfère les données personnelles de ses 300 millions d’abonnés européens vers sa maison mère, en Californie.
Conformément au droit européen, c’est la DPC qui avait été sollicitée pour décider de la capacité du géant américain des réseaux sociaux de continuer à transférer ou non les données de ses utilisateurs de l’autre côté de l’océan Atlantique. En février, la DPC avait elle-même demandé à la Haute Cour irlandaise de renvoyer à la CJUE la décision sur le statut juridique des transferts de données, estimant qu’elle ne pouvait être prise au niveau national.
La Haute Cour a donc accédé à cette demande, en appelant la CJUE à confirmer ou non les «pouvoirs discrétionnaires exceptionnels» conférés à la DPC, et en soulignant qu’il était «important qu’il y ait une application uniforme de la directive (européenne sur la protection des données) à travers l’UE». Cette directive avait permis en mai à l’agence française de protection des données (CNIL), et en septembre à son homologue espagnole (AEPD), d’infliger des sanctions à Facebook pour des manquements dans la gestion des données des utilisateurs, ou le recueil de ces informations.