Europe v Facebook : Facebook et confidentialité !

La Haute Cour d’Irlande a mentionné un cas de partage de données à la Cour de Justice Européenne, au sujet des liens entre le réseau social et la NSA, au travers de son programme PRISM.

La procédure fait suite au « High Court Challenge », relevé par un étudiant en droit autrichien, Max Schrems, qui est à la tête d’un groupe privé, appelé Europe v Facebook.

Schrems a déclaré que le commissaire à la protection des données en Irlande, Billy Hawkes, a mal interprété et appliqué la loi, lorsqu’il a rejeté une plainte au sujet d’un transfert de masse de données d’utilisateurs de Facebook vers la NSA.

Ce commissaire a argumenté qu’une enquête n’était pas réellement nécessaire, dans la mesure où Schrems ne pouvait pas prouver que ses propres données étaient concernées.

Le commissaire a ainsi statué que les transferts de données de Facebook, étaient conformes aux termes d’un accord Europe-Etats-Unis concernant le partage de données, conclu en juillet 2000, et appelé «Safe Harbour». Ce dernier, déclare-t-il, est compatible avec les pré-requis de la directive européenne sur la protection des données.

Europe v Facebook, néanmoins, a précisé que puisque Facebook a une filiale a Dublin, la compagnie est tenue de respecter la loi européenne sur la confidentialité et la consommation. Cette dernière étant, en général, plus stricte que la loi américaine.

Europe v Facebook a déclaré que la manière, avec laquelle Facebook traite les informations de ses utilisateurs, manque de transparence et échappe au contrôle de ces derniers. Ce qui la rend illégale aux yeux des lois européennes.

Les militants ont déposé de nombreuses plaintes, auprès du bureau du commissaire, contre Facebook Irlande, lesquelles ont abouti à un audit de la compagnie.

Par la suite, Facebook a accepté de changer sa politique de confidentialité, mais Europe v Facebook déclare que ces changements sont vraiment mineurs.

Europe v Facebook, a demandé à la Haute Cour irlandaise de revoir la décision du commissaire. La Cour, cependant, a décidé mercredi que le problème en question, n’était pas les actions du commissaire lui-même, mais plutôt l’efficacité de l’accord « Safe Harbour ».

Justice Gerard Hogan, de la Haute Cour, a déclaré dans son jugement :

Il y a, peut être, beaucoup à dire concernant le fait que l’accord « Safe Harbour » a été dépassé par les évènements. Les révélations de Snowden ont, certainement, montré d’importantes failles dans les méthodes de protection de données, utilisées actuellement par les Etats-Unis. Il doit être néanmoins souligné que, ni la validité de la directive 1995, ni la validité de la décision de la commission «Safe Harbour» n’ont été remises en cause durant ces procédures.

En complément, le juge a aussi pointé du doigt le fait que Schrems, n’a pas été tenu de prouver que ses propres données avaient été espionnées, dans le but de déposer plainte.

De toute évidence, Mr Schrems ne pouvait pas dire si ses données personnelles avaient été espionnées par les autorités américaines. Mais même si cela apparait peu probable, il est néanmoins autorisé à dénoncer toute situation où ses données sont transférées à une juridiction, qui pratique une protection limitée contre d’éventuelles interférences avec les autorités de sécurité américaines.

Justice Hogan a concédé que les utilisateurs de Facebook, devaient voir leur données personnelles préservées, selon la loi irlandaise :

Pour que de telles interceptions de communications soient valident constitutionnellement, il faudrait impérativement prouver que ces interceptions et cette surveillance d’individus et de groupes d’individus, soient justifiées dans l’intérêt de la sécurité nationale, ou pour résoudre des crimes. De plus, ces interceptions doivent être réalisées selon des méthodes de protection appropriées et contrôlables.

Hogan a également concédé que le programme de surveillance PRISM, n’était pas totalement compatible avec la loi irlandaise, qui a pour but de protéger les données des citoyens et considère les lieux de vie comme sacré :

Il est très difficile de voir comment les accès en masse, et sans distinction, aux données personnelles domestiques, par les autorités d’état, pourraient avoir lieu sans un examen profond de la constitution.Les risques d’abus, dans de tels cas, sont énormes. Ils peuvent mêmes être amplifiés par le fait qu’aucun aspect de vos vies privées ou domestiques, ne soient immunisés contre un examen en règle de l’état. De telles situations, avec les tristes échos passés des programmes de surveillance étatique de masse, conduit par des régimes totalitaires comme la RDA d’Ulbricht et Honecker, seraient totalement en contradiction avec les postulats de base, et les valeurs fondamentales de la constitution.

Après le jugement rendu, Schrems a déclaré sur Twitter que, la procédure engagée par la Cour d’Irlande, auprès de la Cour de Justice Européenne était la meilleure chose qui pouvait arriver. Il ajoutait que « nous nous attendions a gagner en Irlande, mais obtenir un jugement européen sur cette question, est au-delà de ce que nous pouvions espérer ».

Europe v Facebook a déclaré que ce jugement pourrait avoir des répercutions importantes, et en soulignant que « les médias ne semblaient pas réaliser que cette procédure en Irlande, remet en cause les bases mêmes de la plupart des échanges de données entre l’Europe et les US, … l’impact est donc énorme ».

Le jugement a été ajourné jusqu’au mois prochain, pour permettre la préparation des documents nécessaires à la procédure. Le jugement final, qui sera rendu par la Cour de Justice Européenne, pourra certainement s’appliquer à toutes les compagnies américaines qui ont participé au programme PRISM, et qui commercent en Europe.

Billet inspiré de : “Facebook privacy case to be referred to European Court of Justice” par Lee Munson de Naked Security.

Partagez “Europe v Facebook : Facebook et confidentialité !” avec http://bit.ly/V3WWEZ