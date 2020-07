Pour rappel, avant le Règlement général sur la protection des données (RGPD), la directive européenne 95/46 (et en Belgique la loi du 8 décembre 1992) fixait des conditions strictes au transfert hors de l'Union et imposait que le pays d'accueil garantisse un niveau de sécurité des données "équivalent" à la protection accordée dans l'Union.

Première tentative d'autorégulation

Dès lors, le département américain du Commerce et la Commission européenne avaient établi un cadre appelé " sphère de sécurité " ou "safe harbour principle" permettant aux entreprises américaines qui le souhaitaient de s'engager à respecter diverses règles afin de garantir une protection équivalente des données. Ce mécanisme d'autorégulation et d'autocertification volontaire rendait donc valable un transfert vers les États-Unis . Près de 4.000 entreprises américaines donc Microsoft ou Facebook avaient adhéré à ces principes.

Dans le cas de Facebook, tout utilisateur européen était tenu de souscrire un contrat avec Facebook Irlande, une filiale de Facebook Inc qui est la société mère américaine. Or, une partie des données personnelles des utilisateurs européens de Facebook était transférée vers Facebook Inc et ce, grâce à la certification Safe Harbor. Monsieur Schrems, un citoyen autrichien, utilisateur de Facebook s'opposa à ce transfert et déposa une plainte afin qu'il soit interdit à Facebook Irlande de transférer ses données personnelles vers Facebook Inc.