Une cour d'appel autrichienne a jugé mercredi recevable «à titre individuel» une plainte du juriste autrichien Max Schrems contre le réseau social Facebook, ouvrant la voie à un premier procès civil sur l'utilisation de données personnelles.

Relire notre éditorial. Un coup d'éclat symbolique contre Facebook

La cour d'appel de Vienne a contredit le jugement d'un tribunal de première instance, qui avait jugé la plainte irrecevable dans la forme et s'était déclaré incompétent sur le fond. Cette recevabilité ne s'applique cependant pas, à ce stade, à l'action collective que Max Schrems avait initiée.

Safe Harbor: Facebook sous le feu d'une enquête

Par ailleurs, le réseau social californien est sous le feu d'une enquête sur le transfert des données personnelles de l'UE vers les Etats-Unis. Une commission irlandaise va plancher sur une éventuelle suspension de l'envoi des données des utilisateurs européens. Une décision saluée comme une «étape importante» par les défenseurs des droits des citoyens.

La Haute Cour de justice d'Irlande a ordonné mardi à la Commission nationale de protection des données (DPC) d'enquêter sur l'envoi de ces données vers des serveurs américains, après l'invalidation par la justice européenne de ces transferts transatlantiques il y a deux semaines.

L'Irlande se penche aussi sur une plainte de Max Schrems

Cette décision oblige la DPC à se pencher sur une plainte déposée par un juriste autrichien, Max Schrems, selon qui les Etats-Unis n'offrent pas de garanties suffisantes de respect de la vie privée. L'Irlande est concernée en premier lieu car c'est de son territoire qu'une filiale de l'américain Facebook transfère les données personnelles de ses 300 millions d'abonnés européens vers les Etats-Unis.

La DPC avait refusé d'enquêter à ce sujet il y a deux ans, soulignant que les autorités européennes jugeaient suffisantes les garanties données par les Etats-Unis en matière de protection. Mais la décision du 6 octobre de la Cour de Justice de l'Union européenne (CJUE) a bouleversé ce cadre juridique en qualifiant d'"invalide" le régime qui encadre depuis quinze ans ces transferts de données à des fins commerciales, connu sous le nom de «Safe Harbour».

«Obligation d'enquêter»

Sur cette base, la Haute Cour irlandaise a statué mardi que la commissaire chargée de la DPC, Helen Dixon, avait «l'obligation d'enquêter» sur la plainte de Max Schrems. Helen Dixon a expliqué que ses services allaient donc «désormais travailler sur le fond de la plainte», motivée par les révélations sur les pratiques du renseignement américain, en particulier après l'affaire Snowden.

Facebook se justifie

Dans un communiqué, Facebook a souligné «ne jamais avoir été partie prenante d'un programme visant à donner un accès à nos serveurs aux autorités américaines» et être prêt à répondre à toutes les sollicitations de la DPC.

Le directeur produit de Facebook Chris Cox, qui participait mardi à une conférence sectorielle en Californie, a concédé que les inquiétudes de l'Europe pour la protection des données privées de ses citoyens obligeaient le groupe à «être très clair sur la manière dont nous opérons et très clair sur nos intentions».

Pour les entreprises technologiques c'est un refrain tellement important, pour que les gouvernements et les décideurs politiques puissent vous voir, vous rencontrer, et comprennent comme vous fonctionnez, et n'aient pas peur de vous.

L'UE va-t-elle enquêter en profondeur?

Interrogé après la décision judiciaire irlandaise, Max Schrems a souligné que la question était «maintenant de savoir si la DPC va faire son travail», ajoutant qu'il s'attendait «à une longue enquête en profondeur et à de longs débats avec Facebook».

In fine, la capacité du géant américain des réseaux sociaux de continuer à transférer ou non les données de ses utilisateurs de l'autre côté de l'océan Atlantique dépendra de la décision de cette commission d'ampleur modeste, basée dans le bourg rural de Portarlington, à 90 kilomètres à l'ouest de Dublin, dans des bureaux anonymes situés au-dessus d'une supérette.

Une étape importante sur le plan international

La décision de la Haute cour irlandaise n'en constitue pas moins «une étape importante sur le plan national, mais aussi international», a assuré Simon McGarr, avocat de l'association de défense des droits des citoyens Digital Rights Ireland.

De nombreux autres géants de la Silicon Valley comme Google, Apple et Microsoft ont en effet leur siège européen en Irlande, et la compétence de la DPC s'applique à eux comme à Facebook. «La commissaire à la protection des données a reconnu aujourd'hui avoir l'obligation d'enquêter sur la plainte de Max Schrems mais aussi sur n'importe quelle autre plainte» déposée par un Européen à propos du transfert de ses données, a souligné Simon McGarr.

Ces données englobent toutes les informations permettant d'identifier un individu, de manière directe (nom, prénom, photo ou encore empreinte) ou indirecte (numéro de sécurité sociale ou même numéro de client par exemple).

Grâce à Snowden, un meilleur cadre juridique

La Commission européenne a promis de publier rapidement des "lignes directrices claires" pour éviter un "patchwork" de décisions nationales à ce sujet, après la décision de la CJUE du début octobre. Depuis l'affaire Snowden, elle négocie en outre avec les Etats-Unis un meilleur cadre juridique.

Relire. Le jugement contre Facebook crée une nouvelle ère d'incertitude