FORUM SHOPPING
L’Irlande n’a pas que des attraits fiscaux. Sa législation sur la protection des données à caractère personnel s’avère moins contraignante que d’autres, dont la loi allemande. Et le fait pour une filiale d’un groupe international d’avoir son siège social à Dublin permet de faire valoir la loi irlandaise dans un autre pays européen plus protecteur. Facebook vient d’en faire la démonstration, obtenant une décision très favorable d’un tribunal allemand.
Le vendredi 15 février 2013, le tribunal administratif du Schleswig-Holstein a donné gain de cause à Facebook en l’autorisant à exiger des Allemands qu’ils s’inscrivent à son réseau social sous leur véritable identité. Il explique que « selon la directive européenne sur la protection des données et la loi allemande sur la protection des données, le droit allemand ne s’applique pas dès lors que l’enregistrement et le traitement des données personnelles sont effectués par une filiale se situant dans un pays membre de l’Union européenne ». L’autorité de contrôle de ce land voulait imposer à Facebook l’inscription anonyme de ses membres, en s’appuyant sur la loi allemande, mais le tribunal a jugé que c’était la loi irlandaise qui s’appliquait. Elle a décidé de faire appel de la décision.
Les firmes internationales ont donc tout intérêt à localiser leurs données ou leur siège social dans un pays moins contraignant en matière de protection des données personnelles. Et le projet de règlement européen, qui a pourtant comme objectif l’harmonisation de ce droit, pourrait favoriser le forum shopping des groupes de l’internet, si le texte était maintenu en l’état. Il instaure en effet un guichet unique communautaire, recentrant les pouvoirs d’instruction et de sanction de l’autorité de contrôle sur celle où se trouve le siège européen d’une entreprise. Il suffit de localiser sa filiale dans un pays où la Cnil locale a peu de moyens ou est moins exigeante pour s’assurer ainsi un traitement plus souple de la protection des données personnelles. Comme c’est le cas de l’autorité irlandaise. C’est ce que craint la Cnil qui l’a fait savoir en haut lieu communautaire.
Ce risque a été saisi par Philipp Albrecht, rapporteur à la commission Libertés civiles et affaires intérieures du Parlement européen. Dans son projet de rapport sur la proposition de règlement publié le 8 janvier 2013, il propose que le critère de compétence des autorités de contrôle soit aussi fondé sur le lieu de résidence du citoyen, évitant par là même une distance excessive entre ce dernier et l’autorité compétente, et réduisant aussi les risques de forum shopping et de guerre des Cnil d’Europe.
Cette proposition de règlement fait l’objet d’un intense lobbying, notamment des représentants des groupes d’origine américaine. Monteront-ils au créneau contre une mesure qui commence à faire consensus en Europe ? Pas sûr qu’ils soient entendus. Selon Le Monde, Viviane Reding, vice-présidente de la Commission européenne, serait allée plus loin dans le sens de l’intégration, en lançant l’idée d’une Cnil européenne, une autorité supranationale.