Connect with us

Technologie

Facebook prend une action en justice contre le chien de garde irlandais de la vie privée

Published

on


Facebook demande un contrôle judiciaire contre la Commission irlandaise de protection des données (DPC) après avoir reçu une ordonnance préliminaire du chien de garde de la vie privée de suspendre ses transferts de données aux États-Unis.

Le géant des médias sociaux a déposé le 10 septembre devant la Haute Cour irlandaise les documents ex parte, qui seront désormais appelés à tester la validité et la légalité de la décision préliminaire du DPC selon laquelle les clauses contractuelles standard (CSC) ne peuvent pas être utilisées comme mécanisme de transfert transatlantique de données.

La Cour de justice de l’Union européenne (CJUE) a remis en cause la légalité des CSC lorsqu’elle a décidé d’annuler l’accord sur le bouclier de protection de la vie privée en juillet, au motif qu’elle n’avait pas veillé à ce que les citoyens européens aient un droit de recours adéquat lorsque les données sont collectées par les services de renseignement américains.

Bien que la CJUE ait conclu que les CSC étaient toujours légalement valides, elle a statué que les entreprises avaient la responsabilité de veiller à ce que ceux qu’elles partagent les données avec des protections de la vie privée accordées équivalentes à celles contenues dans le droit de l’Ue.

L’avocat autrichien Max Schrems, à l’origine de la procédure judiciaire qui a conduit à la décision historique de la CJUE (familièrement connue sous le nom de Schrems II), a tweeté que la décision de Facebook de demander un contrôle judiciaire « montre (a) comment ils vont profiter de chaque occasion pour bloquer une affaire, avant même qu’il n’y ait une décision, et b) comment il est tout à fait illusoire d’obtenir une telle affaire dans quelques semaines ou mois dans le système juridique irlandais ».

Le NYB et Facebook ont tous deux été contactés pour obtenir des commentaires, mais n’ont pas répondu au moment de la publication.

Lorsqu’on l’a interrogé sur la décision de Facebook de demander un contrôle judiciaire, le DPC a déclaré à Computer Weekly qu’il ne ferait pas de commentaires pour le moment.

Poursuites judiciaires contre le DPC

Selon M. Schrems, son organisme sans but lucratif noyb n’a pas été informé de la décision du DPC de rendre l’ordonnance préliminaire, qui a maintenant effectivement interrompu la procédure d’une plainte en cours, selon lui, le régulateur n’a déjà pas donné suite pendant sept ans.

Pour cette raison, le NOYB a informé le DPC de son intention de déposer une injonction interlocutoire pour sa « mauvaise gestion » de l’affaire Facebook.

« Cette affaire limitée par le DPC est particulièrement intéressante, comme Facebook a indiqué dans une lettre du 19 août 2020 que (après la fin de la sphère de sécurité, du bouclier de protection de la vie privée et des CSC) il s’appuie désormais sur une quatrième base juridique pour les transferts de données: la prétendue ‘nécessité’ d’externaliser le traitement aux États-Unis en vertu du contrat avec ses utilisateurs », a-t-il déclaré.

« Cela signifie que toute « ordonnance préliminaire » ou « deuxième enquête » du DPC sur les seuls CSC n’empêchera pas Facebook de faire valoir que ses transferts de données entre l’UE et les États-Unis continuent d’être légaux. Dans la pratique, l’article 49 paragraphe 1b, le GDPR peut être une base juridique appropriée pour des transferts de données très limités (par exemple, lorsqu’un utilisateur de l’UE envoie un message à un utilisateur américain), mais ne peut pas être utilisé pour externaliser tous les traitements de données aux États-Unis », a déclaré M. Schrems.

« ous prendrons donc les mesures juridiques appropriées en Irlande pour veiller à ce que les droits des utilisateurs soient pleinement respectés – quelle que soit la base juridique des revendications de Facebook. Après sept ans, toutes les cartes doivent être mises sur la table.

Selon une FAQ sur l’arrêt Schrems II publié par l’Office européen de protection des données (EDPB) le 23 juillet 2020, la question de savoir si une entreprise peut ou non transférer sur la base des CSC dépendra des résultats de leurs évaluations, qui doivent tenir compte des circonstances du transfert et des mesures supplémentaires que le froid sera mise en place.

« Les mesures supplémentaires ainsi que les CSC, à la suite d’une analyse au cas par cas des circonstances entourant le transfert, devraient s’assurer que le droit américain n’empiète pas sur le niveau adéquat de protection qu’ils garantissent », a-t-il déclaré.

« i vous arrivez à la conclusion que, compte tenu des circonstances du transfert et des mesures supplémentaires possibles, des garanties appropriées ne seraient pas assurées, vous êtes tenu de suspendre ou de mettre fin au transfert de données à caractère personnel. Toutefois, si vous avez l’intention de continuer à transférer des données malgré cette conclusion, vous devez en informer votre autorité de contrôle compétente.

Elle a ajouté qu’en ce qui concerne la nécessité de transférer des transferts pour l’exécution d’un contrat, les entreprises devraient garder à l’esprit que les données à caractère personnel ne peuvent être transférées que lorsqu’elles le font « ous de temps en temps ».

Il faudrait établir au cas par cas si les transferts de données seraient déterminés comme « occasionnels » ou « non occasionnels », a-t-il dit.

« n tout état de cause, cette dérogation [of GDPR’s Article 49] ne peut être invoqué que lorsque le transfert est objectivement nécessaire à l’exécution du contrat. »



Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending