Recours contre le transfert de données à l’étranger par Facebook

Eric DELFLY
Eric DELFLY - Avocat associé

 

SOURCE : CJUE 25/01/2018, SCHREMS, C-498/16

I –

Maximilian SCHREMS est un Docteur en droit domicilié en Autriche, qui a fait comme « cheval de bataille », la protection des données. C’est notamment grâce à des qualités juridiques indéniables que celui-ci a obtenu par une première décision de la Cour de Justice de l’Union Européenne (ci-après « CJUE ») et par un arrêt du 6 octobre 2015[1], l’invalidation de la décision de la Commission constatant que les Etats-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées de l’union Européenne vers cet Etat.

Fort de ce premier succès, Monsieur SCHREMS engage une seconde action contre Facebook Ireland Limited devant la juridiction autrichienne. Il soutient que la société a violé son droit au respect de la vie privée et à la protection des données personnelles, ainsi que ceux de 7 autres utilisateurs qui ont cédé leurs droits.

Saisie d’une nouvelle question préjudicielle émanant désormais des juridictions autrichiennes, la CJUE devait répondre à deux questions principales :

La première était de définir un consommateur, c’est-à-dire la personne qui est considérée comme la partie la plus faible nécessitant une solide protection juridique avec un intérêt évident pour la reconnaissance de ce statut, puisqu’un consommateur peut poursuivre l’autre partie au contrat, au fort de son domicile (en d’autres termes, dans l’état de son lieu de résidence) et par ricochet, la possibilité de connaître à la fois ses propres prétentions et les prétentions issues des droits cédés (les sept autres consommateurs), puisqu’il est consommateur au sens des articles 15 et 16 du Règlement n° 44-2001 ;

 

La seconde concerne les compétences internationales pour les litiges relatifs à des contrats conclus par un consommateur en cas de cession de droit, à supposer à cet égard que Monsieur SCHREMS soit encore un consommateur à titre personnel, peut-il également invoquer ce « for spécial » pour les droits cédés par d’autres consommateurs ayant leur domicile dans le même Etat membre, d’autres Etats membres ou dans des Etats tiers ? En d’autres termes, l’article 16, § 1 du Règlement n° 44-2001 (ci-après « Bruxelles I ») peut-il établir une compétence juridictionnelle supplémentaire spécifique au domicile du cessionnaire et permettre ainsi à des consommateurs du monde entier, de rassembler leurs prétentions ? Ou comment introduire une action de groupe dans une réglementation européenne qui l’ignore… ?

Et sur ce point, Facebook n’a pas manqué de répondant et a soutenu que Monsieur SCHREMS avait utilisé son compte à des fins professionnelles, notamment au moyen de sa page Facebook, en informant depuis 2011 ses followers de ses démarches contre Facebook. Cette démarche, selon la World Company, le plaçait dans la catégorie des professionnels et l’excluait du champ des consommateurs, et corrélativement, du bénéfice du Règlement dit Bruxelles I.

II –

La Cour, dans sa décision commentée, répond à ces deux questions de la manière suivante :

– l’utilisateur d’un compte Facebook privé ne perd pas la qualité de consommateur lorsqu’il publie des livres, donne des conférences, exploite des sites Internet, collecte des dons et se fait céder les droits de nombreux consommateurs, afin de faire valoir ceux-ci en justice ;

– en revanche, l’option de compétence en faveur du for du consommateur (ici il s’agissait de la compétence des juridictions civiles viennoises) ne peut pas être invoquée pour l’action d’un consommateur visant à faire valoir devant le Tribunal du lieu où il est domicilié, non seulement ses propres droits, mais également les droits cédés par d’autres consommateurs.

Cette décision apporte ainsi des précisions sur :

– la notion de consommateur et corrélativement la possibilité de saisir la juridiction de son domicile pour contester le transfert des données à l’étranger par Facebook ;

– mais également les limites à la possibilité d’engager une action collective au sein de l’Union Européenne.

III –

Il faut pour l’essentiel retenir que l’élément essentiel sur la base duquel il convient d’apprécier la qualité de consommateur aux fins des articles 15 et 16 de Bruxelles I est la nature et la finalité du contrat auxquelles les prétentions se rapportent. Dans des cas complexes comme celui qui a été examiné par la Cour, lorsque la nature et la finalité du contrat sont mixtes, c’est-à-dire à la fois privés et professionnels, il faut apprécier si le « contenu » professionnel peut être considéré comme marginal. Si c’est effectivement le cas, il est encore possible de conserver la qualité de consommateur.[2]

S’agissant de l’action collective, si celle-ci est la plupart du temps encadrée dans les droits nationaux, il n’existe pas encore au sens de la réglementation européenne, une action collective qui transcenderait les Etats Nations et autoriserait un ensemble de consommateurs issus d’Etats différents à saisir soit une juridiction nationale dont les compétences auraient été réglementairement fixées, soit et pourquoi pas, la Cour de Justice de l’Union Européenne.

Le droit autrichien encadre l’action collective, c’est-à-dire qu’il l’autorise. Mais au cas d’espèce, il ne peut pas être considéré que le rachat des droits de 7 autres utilisateurs de comptes Facebook s’inscrit au regard du droit autrichien, mais également si on veut bien faire un parallèle avec le droit français, au regard du droit français, comme une action de groupe.

L’action n’est pas portée par une association de consommateurs agréée mais par un cessionnaire de droit qui, il faut le reconnaître, ne peut pas acquérir plus de droits que ceux qu’ont pu lui transmettre les consommateurs cessionnaires.

Autrement dit, le consommateur cessionnaire peut transmettre son droit à saisir la juridiction du for, mais la sienne… si le cessionnaire habite à SALZBOURG, ce sera la juridiction de SALZBOURG, si c’est un ressortissant français qui demeure à LILLE, la juridiction lilloise, etc.

Il était donc impossible pour Monsieur SCHREMS de considérer que sa propre juridiction du for s’imposait pour les sept autres droits qu’il avait acquis des autres consommateurs. Il y va de la prévisibilité de la compétence prévue par Bruxelles I qui a bénéficié sur ce point à Facebook. En d’autres termes, il était légitimement prévisible pour Facebook, qui accepte une relation avec un consommateur résidant à SALZBOURG, de devoir débattre des conditions d’utilisation du compte ouvert devant les juridictions Salzbourgeoises et non pas devant une autre juridiction autrichienne ou même un autre Etat de l’Union Européenne.

Ainsi, rejetant le droit pour Monsieur SCHREMS de débattre du cas des droits des sept cessionnaires des droits acquis des autres sept cessionnaires, la Cour a-t-elle a juste titre nous semble-t-il, en tout cas en l’état du droit, puisque l’article 16 du Bruxelles I ne crée pas une juridiction spéciale qui aurait vocation à s’emparer de l’ensemble des litiges identiques portés par un consommateur, tant en son nom personnel, qu’au nom et pour le compte des autres consommateurs dont il aura acquis les droits.

On retiendra ainsi, en prélude à l’application du RGPD en date du 28 mai 2018, que le consommateur pourra débattre de la violation de ses droits issus du Règlement Européen devant le Tribunal du siège du lieu de son domicile.

Il ne faut pas pour autant éluder un débat encore plus passionnant qui est celui du transfert des données personnelles de résidents au sein de l’Union Européenne dans un Etat Hors UE et au cas particulier, aux Etats-Unis.

IV –

Il faut se rappeler qu’avant l’arrêt SCHREMS de 2015, la Commission avait validé le transfert des données de l’Union Européenne vers les Etats-Unis, au motif que les données transférées étaient protégées par le dispositif dit de « safe harbor » ou « sphère de sécurité »[3].

L’arrêt de la CJUE de 2015 met à néant l’accord USA/UE, mais la nature ayant horreur du vide le « safe harbor » a été remplacé par le « Privacy shield » qui est entré en vigueur le 1er août 2016 pour assurer le transfert et la protection des données échangées par les entreprises américaines et européennes.

Certains auteurs qualifient le « Privacy shield » de « safe harbor 2.0 », ce qui est une manière d’écrire que si le texte a évolué pour éviter les critiques de la CJUE, les fondamentaux eux restent intacts. On relèvera d’abord une absence d’application obligatoire du « Privacy shield » aux entreprises américaines qui peuvent ou pas adhérer à un processus volontaire d’auto-certification[4].

Le progrès semble pouvoir s’identifier au niveau du traitement des plaintes, ainsi que des procédures et des mécanismes contraignants afin d’assurer la protection des droits individuels, en particulier, un panel d’arbitrages et un médiateur[5], au point que le groupe des CNILS européennes (ci-après « le G29 »), dans son rapport du 28 septembre 2017, s’est déclaré sensible aux avancées réalisées par les autorités américaines pour encadrer les fuites de données transférées depuis l’UE, mais fondamentalement, les critiques exprimées par la CJUE dans son arrêt SCHREMS de 2015 restent d’actualité puisqu’aucune garantie n’est donnée par le « Privacy shield » sur l’impossibilité pour les services secrets américains de collecter sans mandat de données relatives à des citoyens non américains situés en dehors des Etats-Unis, les informations collectées par des entreprises qui se sont pourtant spontanément soumises au « Privacy shield ». En d’autres termes, la section 702 du « Foreign Intelligence Surveillance Act » (FISA) est non seulement encore en vigueur, mais il est dit que certaines modifications pourraient encore étendre les droits de ces services secrets à capter des informations personnelles collectées par une entreprise américaine concernant des résidents de l’Union Européenne.

Et en toile de fond, se dessine un nouveau conflit de norme entre le RGPD et le « Privacy shield » qui pourrait subir le même sort que le « safe harbor », solution qui paraitrait logique tant les critiques fondamentales qui sont à l’origine de la censure de la CJUE n’ont pas disparu.

 

En toile de fond, cet article s’adresse évidemment à tous les responsables de traitement de données, au titre de leurs obligations de surveillance de leurs sous-traitants, ce qui comprend également les prestataires informatiques auxquels ils ont éventuellement recours, les data centers où ils hébergent leurs données, sur le manquement à leur obligation de vigilance lorsque celle-ci conduit au transfert de données personnelles de résidents de l’Union Européenne aux Etats-Unis, dans un contexte d’incertitude sur la protection des données personnelles par les entreprises ayant adhéré volontairement au « Privacy shield ».

 

La culture de l’utilisateur reste encore à créer. Nous avons sur ce point souvenir d’une question posée lors de nos interventions sur le RGPD par un expert judiciaire agréé auprès de la Cour de Cassation, qui s’interrogeait sur la compatibilité avec le RGPD de stocker et d’échanger avec les parties dans le cadre d’un litige que lui avait confié une juridiction nationale par… Google drive.

 

Et sur ce point, il ne faut pas oublier que les services secrets américains, comme tous les services secrets, ne s’intéressent pas qu’aux trafics de drogue et au terrorisme, mais pratiquent également l’intelligence économique.

 

Eric DELFLY

VIVALDI-Avocats



[1] CJUE 06/10/2015, Schrems/Data Protection Commissioner : C-362/14

Dans son arrêt, la Cour estime que l’existence d’une décision de la Commission constatant qu’un tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler, ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle (en l’espèce, il s’agissait d’un litige qui avait été présenté devant la Haute Cour de Justice Irlandaise) en vertu de la Charte des droits fondamentaux de l’Union Européenne et la directive. La Cour souligne à cet égard que le droit à la protection des données à caractère personnel garanties par la charte ainsi que la mission dont sont investies les autorités nationales de contrôle en vertu de cette même charte.

Pour invalider la position de la Commission, la Cour relève que le régime de protection applicable aux Etats-Unis s’impose uniquement aux entreprises américaines qui y souscrivent, sans que les autorités publiques des Etats-Unis y soient elles-mêmes soumises. En outre, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des Etats-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter sans limitation les règles de protection prévues par ce régime lorsqu’elles entrent en conflit avec de telles exigences. Le régime américain dit de la sphère de sécurité rend ainsi possible des ingérences par les autorités publiques américaines dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence aux Etats-Unis de règles destinées à limiter ces éventuelles ingérences, ni de l’existence d’une protection juridique efficace contre ces ingérences.

En prononçant l’invalidation de la décision de la Commission du 26 juillet 2000 qui en avait décidé autrement, l’arrêt de la CJUE permet à l’autorité de l’autorité irlandaise d’examiner la plainte de Mr CHREMS avec toute la diligence requise et de décider s’il convient, en vertu de la directive, de suspendre les données des abonnés européens de Facebook vers les Etats-Unis, au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles.

[2] Il ne faut par ailleurs pas exclure que dans certaines situations exceptionnelles, la qualité de l’une des parties puisse changer au fil du temps en raison du contenu indéterminé et de la longue durée éventuelle du contrat.

[3] Pour plus de précisions, le « safe harbor » était constitué d’un ensemble de principes de protection des données personnelles négociés entre les autorités américaines et la Commission Européenne en 2001 et publiés par le département du commerce américain auxquels des entreprises établies aux Etats-Unis adhéraient volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union Européenne.

[4] Le rapport de la Commission Européenne publié le 18 octobre 2017 conclut à une auto-certification délivrée pour 2400 entreprises américaines.

[5] « Ombudsperson »

http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130de7f9d2d00e6054ed983d7ef7f81a67468.e34KaxiLc3eQc40LaxqMbN4Pb34Qe0?text=&docid=198764&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=720100
Partager cet article