Les régulateurs de l'UE doivent redoubler d'efforts pour empêcher les entreprises technologiques de transférer des données vers des pays dont les normes de protection des données sont plus faibles, a déclaré jeudi un conseiller de la plus haute juridiction de l'Union européenne. C'est le dernier d'une longue et complexe affaire judiciaire impliquant un militant autrichien de la protection de la vie privée et Facebook.

Un avis préliminaire de l'avocat général de la Cour européenne de justice a déclaré que les règles juridiques existantes de l'UE pour les transferts de données devraient rester en place, mais il devrait y avoir une application plus stricte par les autorités. Cela donne un coup de pouce au militant de la vie privée Max Schrems, qui a lancé l'affaire il y a sept ans en raison de craintes que les Européens ne soient soumis à une surveillance de masse du gouvernement américain.

« Les entreprises pousseront momentanément un soupir de soulagement » que l'UE maintiendra probablement le mécanisme juridique que de nombreuses entreprises utilisent désormais pour déplacer des données dans le monde entier, dit Caitlin Fennessy, directeur de recherche à l'International Association of Privacy Professionals. Mais elle a déclaré que l'avis laisse également place à des défis pour le transfert de données au cas par cas, si un pays est réputé ne pas avoir de protections adéquates.

Bien que l'affaire concerne Facebook, cela pourrait avoir des implications de grande envergure pour les médias sociaux et d'autres entreprises technologiques qui déplacent de grandes quantités de données sur Internet. Schrems a déclaré que l'affaire affectait potentiellement Google, Microsoft et toute autre société américaine qui fournit des services de communications électroniques, mais pas les transferts de données entre entreprises traditionnelles comme les compagnies aériennes, hôtels et banques.

L'avis de l'avocat général n'est pas contraignant mais peut influencer les juges du tribunal lorsqu'ils rendront leur décision finale l'année prochaine, probablement d'ici mars.

Sont en cause ce qu'on appelle les "clauses contractuelles types, " qui obligent les entreprises à respecter les normes strictes de confidentialité de l'UE lors du transfert de messages, photos et autres informations. Des entreprises comme Facebook déplacent régulièrement ces données entre leurs serveurs à travers le monde, et les clauses (conditions générales de stock) sont utilisées pour garantir que les règles de l'UE sont maintenues lorsque les données quittent le bloc.

Schrems avait fait valoir que les clauses signifiaient que les autorités de chaque pays de l'UE pouvaient, par la loi, arrêter les transferts si les données sont envoyées quelque part avec des règles de confidentialité plus faibles.

L'avocat général Henrik Saugmandsgaard Oe a déclaré dans un avis préliminaire que les clauses contractuelles types sont valables, mais a ajouté qu'une disposition dans les clauses signifie que les entreprises et les régulateurs ont l'obligation de suspendre ou d'interdire les transferts en cas de conflit avec la loi dans un pays non membre de l'UE comme les États-Unis.

« Si la Silicon Valley veut avoir les données du monde entier, ce qu'il fait, alors il ne peut pas en même temps être soumis à des lois de surveillance qui n'ont fondamentalement aucun droit pour les étrangers, " a déclaré Schrems.

Il a déclaré que l'avis valide que « généralement les transferts de données se passent bien, à moins qu'il n'y ait une loi de surveillance spécifique dans un autre pays qui sape les protections européennes de la vie privée."

Schrems a déposé sa première plainte en 2013 au motif que les données n'avaient pas de protections adéquates contre la surveillance secrète par les autorités gouvernementales américaines. Sa plainte fait suite aux révélations de l'ancien entrepreneur de la NSA Edward Snowden sur la surveillance électronique par les agences de sécurité américaines, y compris la divulgation que Facebook a donné aux agences l'accès aux données personnelles des Européens.

Schrems, préoccupé par le fait que ses renseignements personnels étaient en danger, avait contesté les transferts de données devant les tribunaux irlandais, siège du siège européen de Facebook.

La Commission irlandaise de protection des données a tenté de contourner le problème en arguant que les clauses étaient juridiquement invalides. La commission a finalement renvoyé l'affaire à la Cour de justice luxembourgeoise, la plus haute juridiction de l'UE.

Facebook, qui avait fait valoir que la surveillance américaine ne viole pas les lois de l'UE sur la protection de la vie privée, dit qu'il était reconnaissant pour l'opinion.

« Les clauses contractuelles types offrent des garanties importantes pour garantir que les données des Européens sont protégées une fois transférées à l'étranger, " le parc Menlo, Californie, l'entreprise a déclaré dans un communiqué.

Google, Apple et Microsoft n'ont pas immédiatement renvoyé les demandes de commentaires.

La Commission irlandaise de protection des données a déclaré que l'avis fournissait une "clarté d'analyse". Le porte-parole Graham Doyle a déclaré que cela montre les complexités qui surviennent lorsque les lois de l'UE sur la protection des données interagissent avec les lois d'autres pays.

Les experts juridiques ont déclaré que les entreprises seraient soulagées que l'opinion valide les pratiques juridiques actuelles en matière de transferts de données.

"L'alternative serait tout un revirement, " a déclaré Elliot Fry, associé principal du cabinet d'avocats britannique Cripps Pemberton Greenish. "Cela aurait demandé beaucoup de bouleversements par rapport aux transferts internationaux. C'est donc de loin l'aspect le plus important de cela."

© 2019 La Presse Associée. Tous les droits sont réservés.