Max Schrems, pourfendeur du Safe Harbour, n’aura pas eu gain de cause une seconde fois. En effet, l’avocat général de la Cour de Justice de l’Union Européenne vient d'estimer valides les clauses contractuelles types de Facebook sur le transfert des données vers des sous-traitants dans des pays tiers. Pour mémoire, Max Schrems avait contesté le fait que les données des utilisateurs de Facebook soient transférées de la filiale irlandaise sur des serveurs situés aux Etats-Unis à des fins de traitements. Pour lui, l’Amérique n’offrait pas de protection suffisante contre la surveillance (notamment avec les révélations d’Edward Snowden) des données personnelles transférées. Cette contestation a vu la Cour de Justice de l’Union européenne invalider en octobre 2015 le Safe Harbour, accord de transfert des données.
En attendant la renégociation d’un accord (qui s’est traduit par la naissance du Privacy Shield), les sociétés comme Facebook se sont rabattues sur des clauses contractuelles types, des modèles de contrats de transfert des données personnelles adoptés par la Commission Européenne. Or ces clauses entre Facebook et sa filiale irlandaise sont contestées par Max Schrems au motif notamment qu’il n’existe aucune voie de recours pour que les utilisateurs concernés fassent valoir leurs droits aux Etats-Unis.
Doutes sur la validité du Privacy Shield
Saisie par une question préjudicielle de la Haute Cour de justice irlandaise, la Cour de Justice de l’Union Européenne devra répondre sur la validité de ces clauses contractuelles types. Elle pourra suivre les conclusions de l’avocat général, Henrik Saugmandsgaard Øe. Ce dernier les considère comme conformes au droit européen et notamment au RGPD (règlement général de protection des données). Pour lui, il existe « une obligation sur les responsables de traitement et en cas d’inaction de ces derniers sur les autorités de contrôle, de suspendre ou d’interdire un transfert, lorsqu’en raison d’un conflit entre les obligations découlant des clauses types et celles imposées par le droit du pays tiers de destination, ces clauses ne peuvent pas être respectées ».
Sous-jacent à cette décision, l’avocat général évoque adroitement la question de la conformité du Privacy Shield. Pour lui, la Cour ne doit pas se prononcer sur ce thème car la résolution du litige au principal ne concerne pas le « bouclier de protection des données ». Nonobstant, Henrik Saugmandsgaard Øe indique à « titre subsidiaire » s’interroger sur la validité du Privacy Shield au regard des droits au respect de la vie privée et à la protection des données personnelles, ainsi que d'un droit à un recours effectif. Un avertissement sans frais pour la nouvelle Commission ?