(AFP) – L’avocat général de la Cour de justice de l’Union européenne (CJUE) a estimé valides certaines règles européennes encadrant le transfert des données personnelles de l’UE vers des pays tiers, comme celles utilisées par Facebook pour envoyer des données vers les Etats-Unis.
Lorsqu’une entité, comme un géant de la tech ou une banque, transfère des données personnelles de l’UE vers un pays étranger, elle peut le faire en passant un contrat avec l’entité qui réceptionne ces données (par exemple la maison mère) sur la base de “clauses types de protection” définies par la Commission européenne.
Dans son avis, l’avocat général Saugmandsgaard Øe estime que ces “clauses contractuelles standards” sont valides et suffisamment protectrices des données personnelles collectées dans l’UE.
Il existe en effet, dit-il, “une obligation” pesant sur l’entité qui exporte ces données, et “en cas d’inaction” sur l’autorité de contrôle du pays tiers, “de suspendre ou d’interdire un transfert” lorsque les conditions de protection posées par l’UE “ne peuvent pas être respectées“.
Les avis de l’avocat général, non contraignants, sont généralement suivis par la CJUE, qui est saisie dans ce dossier par la Haute Cour de justice irlandaise.
Cet avis “laisse entendre que la CJUE préservera les clauses contractuelles types, mais qu’elle fera reposer sur les entreprises et les autorités de protection des données la charge d’évaluer si ces protections sont suffisantes” en dehors de l’UE, a réagi l’association des professionnels du traitement des données (IAPP) dans un communiqué.
“Les entreprises du monde entier peuvent pousser un soupir de soulagement momentané en pensant que la décision finale préservera probablement le mécanisme sur lequel la grande majorité d’entre elles s’appuient pour transférer des données à l’échelle mondiale“, a-t-elle ajouté.
Facebook “attend avec impatience la décision finale” de la Cour, a indiqué un porte-parole du géant des réseaux sociaux. Le CCIA Europe, qui représente le lobby de l’industrie numérique à Bruxelles, a salué “une bonne nouvelle pour les internautes et les entreprises
européennes“.
L’affaire avait initialement été portée devant le régulateur irlandais de l’Internet (DPC) par le juriste autrichien Max Schrems, qui souhaitait faire interrompre le flux de données entre le siège européen de Facebook, basé en Irlande, et sa maison-mère en Californie.
Max Schrems, figure de la lutte pour la protection des données personnelles, estimait ses données moins protégées une fois transférées aux Etats-Unis, mettant en avant qu’elles pouvaient être réclamées par des agences d’Etat au nom de la sécurité nationale. Le régulateur irlandais avait ensuite saisi la Haute Cour de justice, qui a procédé à un renvoi préjudiciel vers la CJUE.