Une commission irlandaise va plancher sur une éventuelle suspension du transfert aux Etats-Unis des données personnelles des utilisateurs européens de Facebook, une décision saluée comme une «étape importante» par les défenseurs des droits des citoyens. La Haute Cour de justice d'Irlande a ordonné mardi 20 octobre à la Commission nationale de protection des données (DPC) d'enquêter sur l'envoi de ces données vers des serveurs américains, après l'invalidation par la justice européenne de ces transferts transatlantiques il y a deux semaines.
Cette décision oblige la DPC à se pencher sur une plainte déposée par un juriste autrichien, Max Schrems, selon qui les Etats-Unis n'offrent pas de garanties suffisantes de respect de la vie privée. L'Irlande est concernée en premier lieu car c'est de son territoire qu'une filiale de l'américain Facebook transfère les données personnelles de ses 300 millions d'abonnés européens vers les Etats-Unis.
La DPC avait refusé d'enquêter à ce sujet il y a deux ans, soulignant que les autorités européennes jugeaient suffisantes les garanties données par les Etats-Unis en matière de protection. Mais la décision du 6 octobre de la Cour de Justice de l'Union européenne (CJUE) a bouleversé ce cadre juridique en qualifiant d'«invalide» le régime qui encadre depuis quinze ans ces transferts de données à des fins commerciales, connu sous le nom de «Safe Harbour».
Sur cette base, la Haute Cour irlandaise a donc statué que la commissaire chargée de la DPC, Helen Dixon, avait «l'obligation d'enquêter» sur la plainte de Max Schrems. Helen Dixon a expliqué que ses services allaient donc «désormais travailler sur le fond de la plainte», motivée par les révélations sur les pratiques du renseignement américain, en particulier après l'affaire Snowden.
Dans un communiqué transmis à l'AFP, Facebook a souligné «ne jamais avoir été partie prenante d'un programme visant à donner un accès à nos serveurs aux autorités américaines» et être prêt à répondre à toutes les sollicitations de la DPC. Le directeur produit de Facebook Chris Cox, qui participait mardi 20 octobre à une conférence sectorielle en Californie, a concédé que les inquiétudes de l'Europe pour la protection des données privées de ses citoyens obligeaient le groupe à «être très clair sur la manière dont nous opérons et très clair sur nos intentions». «Pour les entreprises technologiques c'est un refrain tellement important, pour que les gouvernements et les décideurs politiques puissent vous voir, vous rencontrer, et comprennent comment vous fonctionnez, et n'aient pas peur de vous», a-t-il ajouté.
La Silicon Valley concernée
Interrogé après la décision judiciaire irlandaise, Max Schrems a souligné que la question était «maintenant de savoir si la DPC va faire son travail», ajoutant qu'il s'attendait «à une longue enquête en profondeur et à de longs débats avec Facebook». In fine, la capacité du géant américain des réseaux sociaux de continuer à transférer ou non les données de ses utilisateurs de l'autre côté de l'océan Atlantique dépendra de la décision de cette commission d'ampleur modeste, basée dans le bourg rural de Portarlington, à 90 kilomètres à l'ouest de Dublin, dans des bureaux anonymes situés au-dessus d'une supérette.
La décision de la Haute cour irlandaise n'en constitue pas moins «une étape importante sur le plan national, mais aussi international», a assuré à l'AFP Simon McGarr, avocat de l'association de défense des droits des citoyens Digital Rights Ireland. De nombreux autres géants de la Silicon Valley comme Google, Apple et Microsoft ont en effet leur siège européen en Irlande, et la compétence de la DPC s'applique à eux comme à Facebook. «La commissaire à la protection des données a reconnu aujourd'hui avoir l'obligation d'enquêter sur la plainte de M. Schrems mais aussi sur n'importe quelle autre plainte déposée par un Européen à propos du transfert de ses données», a souligné Simon McGarr.
Ces données englobent toutes les informations permettant d'identifier un individu, de manière directe (nom, prénom, photo ou encore empreinte) ou indirecte (numéro de sécurité sociale ou même numéro de client par exemple). La Commission européenne a promis de publier rapidement des «lignes directrices claires» pour éviter un «patchwork» de décisions nationales à ce sujet, après la décision de la CJUE du début octobre. Depuis l'affaire Snowden, elle négocie en outre avec les Etats-Unis un meilleur cadre juridique.
