La Haute Cour irlandaise rejette l’offre légale de Facebook sur les transferts de données UE-États-Unis

La Haute Cour irlandaise a rejeté une contestation judiciaire de Facebook contre un projet de décision du commissaire irlandais à la protection des données (DPC) visant à suspendre le transfert de Facebook Ireland de données sur les résidents européens aux États-Unis.

Le juge David Barniville a statué la semaine dernière que Facebook Ireland n’avait établi aucune base pour «contester» le projet de décision du commissaire à la protection des données de suspendre les transferts de données de Facebook dans le cadre d’une enquête.

Cette décision est la dernière d’une longue bataille juridique entre l’avocat autrichien Max Schrems et Facebook sur la légalité des transferts de données de la société de médias sociaux entre l’Europe et les États-Unis.

La question est de savoir si les transferts de données vers les États-Unis enfreignent les lois de l’UE sur la protection de la vie privée en soumettant les données des citoyens européens à des programmes de surveillance de masse américains sans leur offrir une réparation juridique adéquate.

Schrems, qui a accusé à la fois Facebook et la DPC de retarder les tactiques, a déclaré qu’après des années de poursuites judiciaires, la DPC serait désormais tenue d’arrêter les transferts de données de Facebook.

«Facebook a perdu sur tous les terrains», a-t-il déclaré. «Après huit ans, la DPC est désormais tenue d’arrêter les transferts de données UE-États-Unis de Facebook, probablement avant l’été.»

le Jugement de la Haute Cour de 127 pages, publié le 14 mai 2021, a rejeté les allégations de Facebook selon lesquelles la DPC aurait manqué à son devoir de franchise dans la manière dont elle a défendu la procédure engagée par Facebook.

Le juge a également conclu que les allégations du DPC – retirées lors de l’audience – selon lesquelles la procédure engagée par Facebook était un abus de procédure n’avaient aucun fondement et auraient dû être retirées à un stade antérieur.

Une action distincte intentée par Schrems contre la DPC visant à mettre fin à l’enquête de la DPC sur Facebook pour différentes raisons a été installé juste avant qu’elle ne soit entendue au tribunal le 13 janvier 2021.

Schrems a porté plainte pour la première fois contre Facebook en 2013, à la suite des révélations de Snowden selon lesquelles les États-Unis étaient engagés dans la surveillance de masse des données de courrier électronique, de téléphone et d’Internet.

L’avocat a contesté la légalité du transfert de données par Facebook sur des citoyens de l’UE aux États-Unis en vertu de la législation européenne sur la protection des données.

Bouclier de confidentialité

L’affaire a conduit la Cour européenne de justice (CJUE) à déclarer l’accord Safe Harbor, qui a été utilisé comme mécanisme juridique pour transférer des données entre l’UE et les États-Unis, invalide en septembre 2014, dans un jugement qui est devenu connu sous le nom de Schrems I.

À Schrems II, en juillet 2020, le La CJUE a supprimé le bouclier de protection des données, le successeur de Safe Harbor, dans un mouvement qui a créé de l’incertitude pour les pays européens qui partagent des données avec les États-Unis et fait pression sur les États-Unis pour qu’ils réforment leurs lois de surveillance.

Schrems a dit dans un déclaration: «Nous attendons maintenant de la DPC qu’elle rende une décision d’arrêter les transferts de données de Facebook avant l’été. Cela obligerait Facebook à stocker localement la plupart des données d’Europe, afin de garantir que Facebook USA n’a pas accès aux données européennes.

«L’autre option serait que les États-Unis modifient leurs lois de surveillance.»

Facebook a entamé une procédure en août 2020 après que la DPC soit parvenue à un avant-projet de décision selon lequel le siège européen de la société de médias sociaux, Facebook Ireland, ne devrait pas transférer de données personnelles à Facebook aux États-Unis.

Le projet de décision indiquait: «Les transferts de données en cause sont effectués dans des circonstances qui ne garantissent pas un niveau de protection aux personnes concernées qui est« essentiellement équivalent »à celui prévu par le droit de l’UE – et enfreignent le RGPD. [General Data Protection Regulation]. »

Toute décision de la DPC est susceptible d’être examinée par le comité européen de la protection des données, qui est composé de 28 États membres de l’UE qui ont le droit de formuler des objections.

Le juge rendra une ordonnance définitive, y compris les dépens, après avoir entendu les autres observations des avocats de chaque partie une fois qu’ils auront examiné le jugement.