Skip to main content

Schrems I

TL;DR

L'affaire Schrems I a été portée devant la Cour de justice des Communautés européennes. Nommée d'après Max Schrems, elle était basée sur l'affirmation que, dans le contexte du programme PRISM de la NSA, révélé au public par Edward Snowden, les entreprises américaines ne seraient pas en mesure de garantir une protection adéquate des données personnelles. Il a donc été décidé qu'en vertu de ladirective européennesur la protection des données, il n'était pas légal de transférer des données personnelles entre l'UE et les États-Unis. Cette décision a entraîné l'invalidation de l'accord sur la sphère de sécurité et a eu de graves répercussions sur les activités de plusieurs entreprises.

Que signifie Schrems I ?

Schrems I est le nom générique d'une affaire judiciaire relative à la protection des données à caractère personnel portée devant la CJCE. Elle porte le nom de Max Schrems, un militant autrichien qui a déposé une plainte contre Facebook, arguant que l'entreprise ne pouvait pas assurer des mesures de protection adéquates de ses données personnelles, car elles étaient transférées de l'UE vers les États-Unis.

L'affaire a commencé en 2013, en Irlande, siège de Facebook en Europe, par une plainte auprès du commissaire irlandais à la protection des données. Elle s'est intensifiée et a atteint la CJCE en 2015, car Max Schrems n'était pas satisfait de la réponse qu'il avait reçue et a déposé une plainte contre le commissaire à la protection des données lui-même. La Cour européenne s'est prononcée en faveur de Schrems en octobre 2015.

Quelles ont été les conséquences de l'arrêt Schrems I ?

Cela signifiait que l'ensemble d'un accord transnational entre l'UE et les États-Unis, appelé Safe Harbor, était automatiquement invalidé. En pratique, il n'était plus possible de transférer les données des citoyens européens vers les États-Unis, car il a été jugé que ces derniers ne pouvaient pas garantir des normes adéquates en matière de protection de la vie privée. Cette décision a été prise dans le contexte du scandale PRISM de la NSA, qui a montré que l'agence américaine accédait à des données privées sans aucun consentement.

Par conséquent, toutes les entreprises dont les activités impliquaient des données de citoyens européens n'étaient plus protégées par la sphère de sécurité et, pendant un certain temps, il leur était illégal de traiter des données personnelles. Cette situation a eu un impact important sur plusieurs entreprises. Toute entreprise devait désormais se demander si de simples processus, comme l'accès des utilisateurs à leurs sites web, pouvaient entraîner le transfert illégal de leurs données personnelles (IP, localisation, autres données stockées dans les cookies) vers les États-Unis. C'était le cas si lesdits sites Web utilisaient des applications tierces américaines comme, par exemple, Google Analytics.

Bien que l'UE et les États-Unis aient travaillé sur un accord ultérieur, appelé " Privacy Shield", celui-ci a également été invalidé en 2020, après qu'une autre plainte du même homme ait conduit à l'affaire Schrems II.