Europe >   Droit privé >  Droit européen >  Protection des données personnelles

Cabinet Bruzzo Dubucq
Avril 2019

Cour de justice de l'union européenne, (grande chambre) 6 octobre 2015 Maximillian Schrems KG c/ Data Protection Commissioner [1]

La monétisation de nos données

On ne présente plus le groupe GAFA [2] qui regroupe les multinationales Google, Apple, Facebook et Amazon, qui grâce à des algorithmes de plus en plus pointus établissent votre profil en collectant vos données, les monétisent et les revendent.

C’est l’apparition de la géolocalisation en 2008 qui donne naissance à ce nouveau marché. Aujourd’hui, il est quasiment impossible de lutter contre la récolte de nos données car le refuser c’est limiter notre accès à internet.

Aujourd’hui, notre lieu d’habitation, notre situation maritale, nos opinions politiques, nos goûts musicaux, littéraires, vestimentaires sont connus de ces multinationales mais également à l’aide de statistiques nos désirs futurs sont devancés et la course à la consommation se poursuit.

Ainsi, chaque clique renseigne sur ce que nous sommes, plus l’on clique, plus nous enrichissons ces multinationales qui stockent dans des bases de données gigantesques se trouvant aux Etats-Unis puis les revendent. Selon une étude du Boston Consulting Group, la vie personnelle d’un européen rapporterait aujourd’hui 600 euros à ces entreprises.

Comment l'Europe nous protége t-il contre le stockage de nos données ?

C’est l’arrêt de la Cour de Justice de l’Union Européenne [3] qui nous éclaire sur la protection apportée par l’Europe relative à l’utilisation de nos données personnelles.

Le 6 octobre 2015, l’arrêt Maximillian Schrems KG c/ Data Protection Commissioner rendu par le CJUE explique de quelle manière la législation opère une protection de nos données et quels droits nous avons.

En effet, dans cet arrêt, Monsieur Schrems s’oppose au Data protection Commissioner au sujet du refus de ce dernier d’enquêter sur une plainte introduite par l’avocat Maximillian Schreams au sujet du transfert par Facebook Ireland aux Etats-Unis des données à caractère personnel de ses utilisateurs.

La CJUE rappelle la protection du respect des droits et libertés fondamentaux garantis par la Communauté Européenne en vertu notamment de l’article 8 du Traité de Rome et la volonté de la Communauté d’assurer un niveau élevé de protection de ces données.

Néanmoins, rien ne s’oppose aux transferts de données à caractère personnel puisqu’il est nécessaire au développement du commerce international. Toutefois, pour que le transfert de données à caractère personnel soit juridiquement valable au regard du droit de l’Union, il est nécessaire que le pays tiers assure un niveau de protection adéquat.

En effet dans la directive 95/46/CE sur la protection des données personnelles dispose :

« Article premier

Objet de la directive :

1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel.

Article 25

Principes

2. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. »

L'inadéquation des Etats-Unis au niveau de protection exigé par l'Union Européenne

Dans le raisonnement de la CJUE, dans l’arrêt Maximillian Schrems KG c. Data Protection Commissioner sont soulignés les problèmes soulevés par le transfert de nos données personnelles aux Etats-Unis, mais plus encore celles relatives à leur traitement.

En effet, suite à la directive 95/46/CE sur la protection des données personnelles, le département du commerce des Etats-Unis a réagi pour établir avec l’Union Européenne un accord relatif à l’usage des données personnelles.

Ainsi le Safe Harbor (sphère de sécurité) est un accord ayant pour projet de garantir à l’Union Européenne la protection nécessaire des données personnelles de ses membres.

Néanmoins, par l’arrêt Maximillian Schrems KG c/ Data Protection Commissioner, la Cour considère que les États-Unis n'offrent pas un niveau de protection adéquat aux données personnelles transférées.

Cette dernière rappelle que « la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée » et qu'un État membre doit pouvoir vérifier si les transferts de données personnelles entre cet État et les États-Unis respectent les exigences de la directive européenne sur la protection des données personnelles.

L’établissement d'un nouvel accord garantissant un niveau de protection suffisant

Suite à l’arrêt Maximillian Schrems KG c/ Data Protection Commissioner, les Etats-Unis et l’union Européenne ont établi un nouvel accord dans le domaine de protection de nos données, le Privacy Shield qui a été ratifié par les Etats de l’union Européenne à l’exception de quelques-uns.

Ce nouvel accord est une série d’engagements du gouvernement fédéral des Etats-Unis envers la Commission Européenne.

Aujourd’hui, ce nouvel accord est en vigueur et permet au GAFA de continuer à exporter nos données vers les Etats-Unis dans le but de les monétiser. Néanmoins, l’avocat Maximillian Schrems dénonce ce nouvel accord qui pour lui « pose des problèmes à la fois dans le domaine commercial et sur le plan des politiques publiques ».

Ainsi, on peut s’attendre à une action intentée par l’avocat Schrems pour voir invalider le Privacy Shield [4].