Les données personnelles des utilisateurs européens de Facebook sont centralisées – via l'Irlande – sur des serveurs situés aux États-Unis. (Photo: DR)

Les données personnelles des utilisateurs européens de Facebook sont centralisées – via l'Irlande – sur des serveurs situés aux États-Unis. (Photo: DR)

La Cour de justice de l’Union européenne est actuellement penchée sur une affaire de protection des données à caractère personnel dont elle a été saisie par la Haute Cour de justice irlandaise.

À la base de cette affaire se trouve Maximilian Schrems, un citoyen autrichien utilisateur de Facebook qui – sachant que ses données personnelles étaient transférées à partir de la filiale irlandaise de Facebook vers des serveurs situés aux États-Unis – a souhaité contester le traitement américain réservé à ces données, après les révélations d’Edward Snowden – en 2013 – sur les activités de surveillance du renseignement américain via les grandes oreilles de la NSA.

Mais la justice irlandaise a rejeté sa plainte sur base d’une décision de la Commission européenne qui, en juillet 2006, avait estimé que dans le cadre du régime de la «sphère de sécurité», les États-Unis assuraient un niveau adéquat de protection aux données à caractère personnel.

Pas de compétence de restriction

Dès lors, cette décision de la Commission a-t-elle pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté?

À cette double question posée par la justice irlandaise, l’avocat général de la Cour de justice de l’Union européenne, Yves Bot, a répondu ce mercredi à Luxembourg que «l’existence d’une décision de la Commission ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle», considérant en outre cette décision comme «invalide», la Commission ne disposant pas de la compétence de restreindre les pouvoirs des autorités nationales.

Une ingérence dans le droit

«Les États membres doivent pouvoir prendre les mesures nécessaires à la sauvegarde des droits fondamentaux», a encore souligné Yves Bot, notant par ailleurs que «le droit et la pratique des États-Unis permettent de collecter à large échelle les données à caractère personnel de citoyens de l’Union qui sont transférées sans que ces derniers bénéficient d’une protection juridictionnelle effective».

Considérant la surveillance américaine comme étant «massive et non ciblée», l’avocat général l’a qualifiée de «constitutive d’une ingérence dans le droit au respect de la vie privée».

Si la Cour devait suivre son raisonnement, salué un peu plus tard dans la matinée par le Parlement européen, cela pourrait poser quelques soucis à Facebook, mais aussi, et surtout, remettre en question un droit accordé en 2000 aux États-Unis sur l'exportation des données personnelles.