L’invalidation du Safe Harbor (arrêt Facebook)
CJUE, aff. C-362/14, ECLI:EU:C:2015:650 (Schrems)
Faits
Le réseau social Facebook transfère tout ou partie des données personnelles de ses utilisateurs (noms, prénoms, photos, mots de passe…) vers des serveurs situés aux Etats-Unis. Maximilien Schrems, ressortissant autrichien et utilisateur de Facebook, estime que le droit américain n’offre pas une protection suffisante de ses données personnelles et demande aux autorités irlandaises d’interdire leur transfert depuis l’UE vers les Etats-Unis. L’autorité de protection des données irlandaise s’estime incompétente pour vérifier une telle requête dès lors qu’elle estime que la Décision 2000/520 de la Commission européenne l’en empêcherait.
Saisie d’un recours par Schrems, la High Court irlandaise décide de sursoir à statuer et pose à la CJUE la question de savoir si les autorités nationales peuvent examiner la légalité d’un transfert de données vers les Etats-Unis.
Droit
Selon l’art. 25 par. 1 de la Directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données (ci-après la Directive 95/46), « le transfert vers un pays tiers de données à caractère personnel […] ne peut avoir lieu que si […] le pays tiers en question assure un niveau de protection adéquat ». L’examen du niveau de protection adéquat s’examine au regard de l’ensemble des circonstances du transfert des données (art.… Lire la suite