Les autorités de protection des données doivent arrêter les transferts de données si les droits fondamentaux sont violés.
De sérieux doutes sur le bouclier de la vie privée. L'avocat général applique la CEDH au lieu du CFR.
Schrems : "L'avis suit presque tous nos arguments"
Première réaction de Max Schrems (président de noyb.eu et partie à l'affaire) à l'avis de l'avocat général : "Je suis généralement satisfait de l'opinion de l'avocat général. L'opinion est conforme à nos arguments juridiques. C'est un coup dur pour le CDP irlandais et Facebook, ainsi qu'une étape très importante pour la vie privée des utilisateurs. Le problème est que l'avocat général propose un niveau inférieur de protection de la vie privée pour la "sécurité nationale" au titre de la CEDH, et non de la Charte des droits fondamentaux de l'UE. ”
De sérieux doutes sur le bouclier de la vie privée. Une question qui a été partiellement touchée par les onze questions de la Haute Cour irlandaise, était le rôle du nouvel accord UE-USA sur le transfert de données appelé "Privacy Shield". M. Schrems a exprimé de sérieuses inquiétudes quant à la validité du "Privacy Shield", dont l'avocat général se fait maintenant l'écho. Schrems : "Après l'arrêt "Safe Harbor", la Commission européenne a délibérément adopté une nouvelle décision invalide - sachant qu'il faudra deux ou trois ans avant que la Cour ait la possibilité de l'invalider une seconde fois. Il sera très intéressant de voir si la Cour prendra en compte cette question dans la décision finale ou si elle attendra qu'une autre affaire lui parvienne"
Schrems : "Je suis également très heureux que l'AG ait adopté une position claire sur le médiateur chargé de la protection de la vie privée. Une simple "boîte postale" au ministère des affaires étrangères des États-Unis ne peut pas remplacer un tribunal, comme l'exige le premier jugement de la Cour" Étant donné que le médiateur est le pilier central du système du "bouclier de protection de la vie privée", il est difficile de comprendre pourquoi l'AG n'a pas dit l'évidence : le bouclier de protection de la vie privée ne protège pas suffisamment les données de l'UE et doit donc être invalidé.
AG : Le DPC devrait faire son travail. Depuis plus de six ans, Schrems et noyb tentent d'obtenir du commissaire irlandais à la protection des données (DPC) qu'il prenne des mesures ciblées contre Facebook à propos du scandale des espions de la NSA, mais le DPC a trouvé d'innombrables raisons de ne pas appliquer la loi. Schrems : "L'avocat général dit maintenant à l'autorité irlandaise de protection des données de faire son travail"
Il est très possible que le CPD doive également prendre en charge la facture légale pour toute cette affaire, qui pourrait s'élever à 10 millions d'euros. Schrems : "Après tout, le contribuable irlandais pourrait devoir payer jusqu'à 10 millions d'euros de frais de justice, pour que le DPC retarde cette affaire dans l'intérêt de Facebook
Les autorités ont le devoir d'agir. Un autre élément très important est que l'avocat général précise que les autorités de protection des données ont le devoir d'agir en vertu de la loi. Schrems : "À l'heure actuelle, de nombreuses autorités de protection des données détournent simplement le regard lorsqu'elles reçoivent des rapports d'infraction ou ne traitent tout simplement pas les plaintes. C'est un grand pas en avant pour l'application de la GDPR"
Les CSC peuvent rester. L'avocat général ne s'est pas rallié à l'avis du CPD selon lequel les CSC devraient être invalidés globalement. Toutes les autres parties à la procédure (y compris M. Schrems) n'ont exprimé aucune inquiétude concernant les CSC. L'avocat général a expliqué au CPD que les CSC sont dotés d'une "soupape de pression" intégrée (article 4 CSC) qui permet au CPD de suspendre les flux de données en cas de problème avec le droit américain. Schrems : "L'avis indique clairement que la CPD a la solution à cette affaire entre ses mains : Elle peut ordonner à Facebook d'arrêter les transferts demain. Au lieu de cela, elle s'est tournée vers la CJUE pour invalider l'ensemble du système. C'est comme crier pour les pompiers européens, parce que vous ne savez pas comment souffler une bougie vous-même"
AG applique le test de confidentialité non communautaire. En Europe, il existe deux corps de droits fondamentaux : Premièrement, la Convention européenne des droits de l'homme (CEDH) qui est en vigueur depuis 1953 et qui couvre 47 pays, dont tous les États membres de l'UE, mais aussi la Russie et la Turquie. Deuxièmement, la Charte des droits fondamentaux (CFR) de 2000, qui ne s'applique qu'au sein de l'UE et garantit généralement un niveau de protection plus élevé. L'UE n'a pas adhéré à la CEDH. L'AG applique désormais la norme beaucoup plus faible prévue par la CEDH, bien que la CJUE ait appliqué la Charte des droits fondamentaux dans le premier arrêt rendu dans cette affaire.
Schrems : "Étonnamment, l'avis suit la jurisprudence extrêmement favorable à la surveillance dans le cadre de la CEDH, à laquelle l'UE n'a même pas adhéré, au lieu de la jurisprudence claire de la Cour de justice. Cela va à l'encontre de toute logique et de la jurisprudence antérieure de la Cour. L'AG a précédemment maintenu une approche plus "détendue" que la Cour sur les affaires de surveillance. Je doute que les juges partagent ce point de vue".
Pas de fin à la confrontation des données entre les États-Unis et l'UE. L'affaire elle-même ne peut pas surmonter le conflit plus profond entre le droit européen et le droit américain. Schrems : "À long terme, j'espère que le législateur américain se rendra compte qu'aucun client étranger ne fera confiance à l'industrie américaine, s'il n'y a pas de protection solide de la vie privée aux États-Unis. Vous ne pouvez pas dire "faites-nous confiance avec toutes vos données, mais en fait vous n'avez aucun droit" Les États-Unis ont des préoccupations similaires concernant le matériel chinois 5G de Huawei ou les applications comme TikTok.
Impact pratique : Plus de vie privée pour les consommateurs de l'Union européenne, enjeux considérables pour certaines entreprises américaines. Si la Cour suit l'avis rendu aujourd'hui pour adopter une "approche ciblée", il n'y aurait aucune incidence sur la plupart des transferts de données dans l'UE. Les autorités européennes chargées de la protection des données peuvent toutefois arrêter les transferts vers des entreprises américaines qui relèvent de la norme FISA 702 ("fournisseurs de services de communications électroniques"). Il s'agit notamment de sociétés comme Facebook, Google, Microsoft, Amazon Web Services ou Yahoo.
Schrems : "Tout le monde pourra toujours avoir tous les flux de données nécessaires avec les États-Unis, comme l'envoi de courriels ou la réservation d'un hôtel aux États-Unis. Certaines entreprises de l'UE pourraient ne plus pouvoir utiliser certains fournisseurs américains pour l'externalisation, car la législation américaine en matière de surveillance oblige ces entreprises à divulguer des données à la NSA. Il s'agit également d'un problème économique pour les États-Unis, car les revenus étrangers iront ailleurs. Il incombe vraiment aux États-Unis de garantir une protection de base de la vie privée des étrangers. Sinon, personne ne fera confiance aux entreprises américaines pour leurs données"
noyb.eu L'affaire est soutenue par l'organisation européenne à but non lucratif noyb.euLe site noyb.eu est financé par plus de 3 000 membres bienfaiteurs et travaille sur des litiges stratégiques pour mettre en pratique le droit fondamental à la protection des données.
L'équipe juridique de M. Schrems a porté cette affaire devant les tribunaux à titre bénévole et est soutenue par une équipe d'avocats d'Irlande, des États-Unis et du Luxembourg. M. Schrems est représenté par Eoin McCullhan, assisté par Ahern Rudden Quigley Solicitors. Le professeur Herwig Hofmann a soutenu l'affaire sur les questions de droit européen. Ashley Gorski, de l'Union américaine des libertés civiles (ACLU.org) a assisté en tant que témoin expert sur la législation américaine en matière de surveillance.
Informations complémentaires
noyb.eu Vérifier @noybeu et @maxschrems pour plus de mises à jour
+43 660 2678622 media@noyb.eu
Irlande : Gerard Rudden, ARQ Solicitors (représentant M. Schrems)
+353 1 661 6102 gerard.rudden@arqsolicitors.com
Sur le droit américain : Ashley Gorski, ACLU media@aclu.org