PRISM : l'Irlande rejette les recours contre Apple et Facebook

Le bureau irlandais de la protection des données personnelles a rejeté les recours intentés contre Apple et Facebook dans le cadre de l'Affaire PRISM. Ils avaient été déposés par l'association Europe vs Facebook, qui parle d'une décision « incroyable ».

L'Irlande n'accédera pas à la plainte déposée par le groupe Europe vs Facebook contre le réseau social (.pdf) et Apple, dans le cadre de l'affaire PRISM. Suite au scandale, l'association avait intenté des recours à l'encontre de cinq des neuf partenaires du programme PRISM, auprès d'instances luxembourgeoises, irlandaises et allemandes, les pays accueillant les sièges européens de ces firmes.

Europe vs Facebook, fondée par l'étudiant autrichien Max Schrems, devenu célèbre après avoir poursuivi Facebook en justice à propos de la politique de confidentialité du réseau social, espérait avant tout que les juridictions obtiennent des clarifications sur les pratiques opérées en matière d'espionnage et de collecte des données. L'étudiant assurait alors que les législations nationales des pays européens pouvaient tout à fait s'appliquer.

Mais l'Irlande ne semble pas vraiment l'entendre de cette oreille, posant sur la table la directive 95/46/CE du 24 octobre 95 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Dans un courrier (.pdf, en anglais) adressé à l'association, le commissaire au bureau irlandais de la protection des données a ainsi fait savoir que les recours ne pouvaient être examinés en vertu de ce texte.

Cette directive a été modifiée en 2000 avec l'inclusion du principe du « Safe Harbor ». À la manière d'un label, celui-ci certifie que les entreprises américaines implantées en Europe respectent effectivement la législation européenne en matière de protection des données. Auquel cas elles pourront transférer des données personnelles de l'espace économique européen vers le territoire américain. Étant donné que Facebook et Apple sont tous deux certifiés Safe Harbor, les recours intentés s'avèrent infondés.

L'irlande dit que « l'UE a accepté le programme PRISM il y a 13 ans »

La certification est censée témoigner du respect de certains principes de base, comme la bonne information des citoyens quant à la collecte de leurs données et à l'utilisation qui en est faite. Toutefois, le commissaire note que le respect des principes de protection des données peut être limité pour certaines raisons. La lettre évoque ainsi la nécessité de répondre à la sécurité nationale, le maintien de l'ordre public ou encore des mesures d'intérêt public. La certification Safe Harbor peut aussi être aménagée par les textes et la jurisprudence. À condition que les dérogations au principe de respect de la vie privée restent limitées et justifiées.

Autrement dit, quand bien même Facebook et Apple ne respecteraient pas les principes fondateurs de la certification, une justification demeure possible sur des fondements largement exposés par les autorités américaines depuis l'éclatement de l'affaire PRISM.

La réaction de Europe vs Facebook ne s'est pas faite attendre, dénonçant une réponse « incroyable » de la part de l'autorité Irlandaise. Pour Max Schrems, celle-ci « dit sérieusement que l'Union européenne a accepté le programme PRISM il y a 13 ans, lors de la prise de décision du “Safe Harbor" ». Et d'ajouter : « ils disent qu'ils sont d'accord avec PRISM, accusant effectivement Bruxelles au lieu de prendre les choses en main. Cela signifie aussi le commissaire considère que le programme PRISM est en phase avec la protection adéquate de la vie privée au regard des règles communautaires. Je doute que la Commission européenne partage cet avis, mais au moins nous avons poussé les autorités irlandaises à déclarer pour quelle équipe ils jouent ».

Très critique à l'égard de la prise de position irlandaise, Max Schrems estime que cette décision signifie que « vous pouvez transférer autant de données que vous voulez vers les USA à partir du moment où vous inscrivez votre maison mère sur une liste ». Cette décision tranche sensiblement avec un communiqué de son équivalent allemand, qui dans un courrier adressé à la chancelière Angela Merkel considérait que la certification ne pouvait garantir un degré adéquat de protection de la vie privée pour les données transférées vers les États-Unis.

Dans ce contexte, Max Schrems explique avoir l'impression que l'autorité irlandaise essaie « d'ignorer les plaintes et le scandale suscité par l'affaire PRISM ». S'il en a les capacités, l'homme a déjà promis de faire appel.