OBS IRIS Merlin
english francais deutsch

IRIS 2017-10:1/22

Irlande

La Haute Cour saisit la Cour de justice de l’Union européenne d’une question préjudicielle dans l’affaire Facebook c. Irlande

print add to caddie Word File PDF File

Ingrid Cunningham

School of Law, Université nationale d'Irlande, Galway

Le Commissaire irlandais à la protection des données a été autorisé par la Haute Cour irlandaise à saisir la Cour de justice de l'Union européenne d’une question préjudicielle afin qu’elle se prononce sur la validité de trois décisions prises par la Commission européenne qui s’appliquent aux transferts de données depuis l’Espace économique européen (EEE) vers les Etats-Unis. Cette saisine a été accordée dans le cadre de la procédure qui opposait le Commissaire irlandais à la protection des données à Facebook Ireland Ltd. et l'avocat autrichien Maximilian Schrems. L'affaire reposait sur une plainte déposée par M. Schrems en 2013 au sujet du transfert de ses données à caractère personnel par Facebook Ireland Limited (Facebook) hors de l'Union européenne à Facebook Inc., aux Etats-Unis, pour qu’elles y soient ensuite traitées. M. Schrems soutenait que « le droit américain n’offre pas à ses données à caractère personnel la protection que lui accorde le droit de l’Union européenne ».

Facebook a indiqué au Commissaire irlandais à la protection des données que « ce transfert de données, y compris les données à caractère personnel de M. Schrems, pour qu’elles soient traitées par Facebook Inc. était en grande partie conforme à un accord conclu entre Facebook Ltd. et Facebook Inc. qui se fonde sur la Décision n° 2010/87UE de la Commission européenne ». Cette décision « autorise le transfert de données par les exportateurs de données de l’EEE à des importateurs de données situés en dehors de l'EEE sur la base de clauses contractuelles types (CCT) ».

Le Commissaire à la protection des données a estimé que la plainte de M. Schrems soulevait un certain nombre de questions au sujet de la validité des CCT prévues par les décisions de la Commission européenne au regard des différentes dispositions énoncées par la Charte des droits fondamentaux de l’Union européenne, notamment à l’article 7 (respect de la vie privée et familiale) et/ou à l’article 8 (protection des données à caractère personnel). Compte tenu de l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire Schrems c. Data Protection Commissioner (voir IRIS 2015-10/2), qui invalide l’accord américain sur la sphère de sécurité (Safe-Harbor), le Commissaire à la protection des données a engagé cette procédure afin que la validité des CCT de ces décisions de la Commission européenne soit déterminée, soit par la Haute Cour, soit dans le cadre d’une saisine par la Haute Cour de la Cour de justice de l’Union européenne, qui se prononce sur la validité des CCT des décisions en question ».  

La juge Costello de la Haute Cour a déclaré que « cette affaire soulève un certain nombre de problèmes particulièrement graves, voire fondamentaux, pour des millions de citoyens de l’Union européenne » et a des répercussions commerciales qui se chiffrent à plusieurs milliards d’euros entre l’Union européenne et les Etats-Unis.

Dans une décision de 153 pages, le juge a estimé que la Haute Cour avait toute compétence pour saisir la Cour de justice de l’Union européenne d’une question préjudicielle sur la validité des CCT des décisions de la Commission, conformément à l'article 267 du Traité sur le fonctionnement de l'Union européenne (TFUE). La juge a fondé sa décision sur « les préoccupations légitimes » du Commissaire à la protection des données, auxquelles souscrit la Haute Cour, au sujet de la validité des décisions en question. La juge a rappelé que le droit de l’Union européenne garantit un niveau élevé de protection aux citoyens européens en matière de traitement de leurs données à caractère personnel au sein de l’Union européenne. Par conséquent, les citoyens de l'Union européenne « sont en droit d’exiger le même niveau élevé de protection lorsque leurs données à caractère personnel sont transférées en dehors de l'EEE ».

La juge a déclaré que les arguments avancés par le Commissaire à la protection des données, selon lesquels « la législation des Etats-Unis, et tout autant leur pratique, ne respectent pas l’essence même du droit à un recours effectif devant un tribunal indépendant garanti par l'article 47 de la Charte, qui s'applique aux données de tout citoyen européen transférées aux Etats-Unis », sont « parfaitement fondés ».

La juge Costello a précisé que l’adoption par la Commission européenne de la Décision de protection des données (« Privacy Shield » ) avec les Etats-Unis en juillet 2016 (adoptée après l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire Schrems c. Data Protection Commissioner déclarant l’invalidité de la Décision sur la sphère de sécurité (« Safe-Harbor »), qui admet l’existence d’une protection suffisante des données à caractère personnel transférées aux Etats-Unis en vertu du protocole d’accord conclu, ne l'empêchait pas de saisir la Cour de justice de l’Union européenne d’une question préjudicielle. La juge Costello a ajouté que la mise en place d’un mécanisme de médiation dans la Décision de protection des données (« Privacy Shield ») n'a pas pour autant dissipé les préoccupations « légitimes » du Commissaire à la protection des données. Le juge a conclu qu'une décision de la Cour de justice de l’Union européenne était nécessaire pour déterminer si le mécanisme de médiation en question était assimilable à un recours.

références
The Data Protection Commissioner v. Facebook Ireland Limited & Anor [2017] IEHC 545, 3 October 2017 EN
 http://merlin.obs.coe.int/redirect.php?id=18741
 
  Commissaire à la protection des données c. Facebook Ireland Limited & Anor [2017] IEHC 545, 3 octobre 2017