Max Schrems versus Meta la saga continue. Le 4 octobre 2024, la Cour de justice de l’Union européenne (CJUE) a rendu une décision en matière d’utilisation des données personnelles. Les affaires Max Schrems ont eu un impact profond sur le cadre juridique européen en matière de protection des données. Chaque étape de ses actions a conduit des décisions historiques opposant souvent l’entreprise californienne avec Max Schrems.
Qui est Max Schrems ?
Maximilian Schrems est un activiste autrichien connu pour ses actions contre Meta (anciennement Facebook) concernant la gestion et le transfert des données personnelles. Ses efforts ont mis en lumière la collecte massive de données, notamment pour les citoyens européens. Il est aussi le fondateur de l’association NOYB dédiée à la protection des données personnelles.
La problématique du transfert de données personnelles des utilisateurs européens vers les États-Unis.
En 2013, Max Schrems dépose une plainte contre Facebook auprès de l’Autorité irlandaise de protection des données. Il remet en question la légalité des transferts de données des utilisateurs européens vers les États-Unis, notamment après les révélations d’Edward Snowden sur la surveillance de masse par la NSA.
La Cour de justice de l’Union européenne fait droit à la demande de Max Schrems. La Cour juge que le “Safe Harbor” (système qui encadrait le transfert des données des internautes européens vers les États-Unis et leur utilisation par de nombreuses entreprises américaines) ne protège pas suffisamment les données des citoyens européens.
Cette décision pousse l’Union européenne et les États-Unis à négocier un nouvel accord, baptisé “Privacy Shield”, pour encadrer ces transferts transatlantiques.
La conformité de l’utilisation des données personnelles par Meta dans le cadre du Règlement Général sur la Protection des Données (RGPD).
L’activiste autrichien considère que le “Privacy Shield” ne résout pas les problèmes soulevés lors de la première affaire. En 2018, avec l’entrée en vigueur du RGPD, il dépose une nouvelle plainte contre Meta, estimant que ce nouveau cadre est toujours insuffisant pour protéger les données des citoyens européens transférées aux États-Unis.
La Cour de justice de l’Union européenne juge que les lois américaines sur la surveillance sont toujours incompatibles avec le droit européen en matière de protection des données personnelles.
Cette décision a un impact majeur sur les transferts de données transatlantiques. Les entreprises doivent désormais utiliser d’autres outils juridiques comme les clauses contractuelles types, bien que ces mécanismes soient eux aussi soumis à des incertitudes juridiques quant à leur conformité au RGPD.
La question de la publicité et de la collecte massive des données personnelles au cœur du débat
Le 4 octobre 2024, la CJUE a de nouveau statué sur une affaire opposant Max Schrems et Meta. En l’espèce, l’activiste autrichien s’est attaqué à la publicité ciblée. Il dénonce l’exploitation par Meta des données sensibles des utilisateurs, comme leur orientation sexuelle, à des fins commerciales, sans consentement explicite ou limité dans le temps.
La cour a estimé que Meta ne peut plus utiliser indéfiniment les données personnelles de ses utilisateurs pour la publicité ciblée sans distinction de leur nature ou sans limite temporelle. La Cour rappelle le principe de minimisation des données inscrit dans le RGPD, affirmant que seules les données nécessaires doivent être utilisées, et pour une durée déterminée.
Cette décision est un tournant pour l’industrie de la publicité numérique. Elle impose des restrictions importantes à Meta ainsi qu’à d’autres entreprises technologiques.
Cette affaire met en avant la tension croissante entre les droits des utilisateurs et les pratiques des entreprises technologiques.
Sources :
https://curia.europa.eu/jcms/jcms/j_6/fr/
https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue
https://www.cnil.fr/fr/presentation-de-larret-schrems-ii-de-la-cjue
Image générée avec black forest labs
