L’invalidation du Safe Harbor (arrêt Facebook)

CJUE, aff. C-362/14, ECLI:EU:C:2015:650 (Schrems)

Faits

Le réseau social Facebook transfère tout ou partie des données personnelles de ses utilisateurs (noms, prénoms, photos, mots de passe…) vers des serveurs situés aux Etats-Unis. Maximilien Schrems, ressortissant autrichien et utilisateur de Facebook, estime que le droit américain n’offre pas une protection suffisante de ses données personnelles et demande aux autorités irlandaises d’interdire leur transfert depuis l’UE vers les Etats-Unis. L’autorité de protection des données irlandaise s’estime incompétente pour vérifier une telle requête dès lors qu’elle estime que la Décision 2000/520 de la Commission européenne l’en empêcherait.

Saisie d’un recours par Schrems, la High Court irlandaise décide de sursoir à statuer et pose à la CJUE la question de savoir si les autorités nationales peuvent examiner la légalité d’un transfert de données vers les Etats-Unis.

Droit

Selon l’art. 25 par. 1 de la Directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données (ci-après la Directive 95/46), « le transfert vers un pays tiers de données à caractère personnel […] ne peut avoir lieu que si […] le pays tiers en question assure un niveau de protection adéquat ». L’examen du niveau de protection adéquat s’examine au regard de l’ensemble des circonstances du transfert des données (art.Lire la suite

Les données d’employés d’une banque transmises aux autorités américaines

ATF 141 III 119TF, 12.01.2015, 4A_406/2014*

Faits

En 2010, plusieurs banques suisses font l’objet d’une enquête par les autorités américaines, qui les soupçonnent d’avoir aidé des clients américains à se soustraire à leurs obligations fiscales. Ils s’en suivent différentes transmissions de données de la part des banques aux autorités américaines concernant les clients d’abord, et leurs employés par la suite. Le 4 avril 2012, le Conseil fédéral autorise les banques concernées à transmettre directement aux autorités américaines des données non anonymisées, à l’exception de celles des clients. Quelques jours plus tard, la FINMA recommande aux banques de coopérer avec les autorités américaines dans le cadre prévu par le Conseil fédéral. C’est dans ce contexte qu’une banque genevoise transmet, à l’insu de ses employés, des documents comportant les données personnelles de ceux-ci aux autorités américaines.

Deux employés de la banque prennent connaissance de cette transmission par la presse. Suite à cela, ils lui demandent de consulter les documents transmis. Celle-ci accepte cette requête, mais refuse de les laisser prendre la copie des documents.

Dans des procédures séparées, les deux employés, entretemps licenciés, saisissent le Tribunal de première instance de Genève (TPI) et requièrent la production d’une copie des documents avec indication de la date et de l’autorité destinataire de cette transmission.… Lire la suite