Avis de la CJUE - AG, première déclaration

19 Déc 2019

Les autorités de protection des données doivent arrêter les transferts de données si les droits fondamentaux sont violés.
De sérieux doutes sur le bouclier de la vie privée. L'avocat général applique la CEDH au lieu de la CFR.
Schrems : "L'opinion suit presque tous nos arguments"

Téléchargez la première déclaration ici (PDF)

Téléchargez le document de référence ici (PDF)

Première réaction de Max Schrems (président de noyb.eu et partie à l'affaire) aux conclusions de l'avocat général : "Je suis généralement satisfait de l'opinion de l'avocat général. L'opinion est conforme à nos arguments juridiques. C'est un coup dur pour le DPC irlandais et Facebook, ainsi qu'une étape très importante pour la vie privée des utilisateurs. Le problème est que l'avocat général propose un niveau inférieur ou des protections de la vie privée pour la "sécurité nationale" en vertu de la CEDH, et non de la Charte des droits fondamentaux de l'UE.

De sérieux doutes sur le bouclier de la vie privée. Une question qui a été partiellement touchée par les onze questions de la Haute Cour irlandaise, était le rôle du nouvel accord UE-USA sur le transfert de données appelé "Privacy Shield". M. Schrems a exprimé de sérieuses réserves quant à la validité de ce dernier, réserves dont l'avocat général se fait maintenant l'écho. Schrems : "Après l'arrêt "Safe Harbor", la Commission européenne a délibérément adopté une nouvelle décision invalide - sachant qu'il faudra deux ou trois ans avant que la Cour ait la possibilité de l'invalider une seconde fois. Il sera très intéressant de voir si la Cour prendra en compte cette question dans la décision finale ou si elle attendra qu'une autre affaire lui parvienne"

Schrems : "Je suis également très heureux que le Groupe consultatif ait adopté un point de vue clair sur le médiateur chargé de la protection de la vie privée. Une simple "boîte postale" au ministère des affaires étrangères des États-Unis ne peut pas remplacer un tribunal, comme l'exige le premier jugement de la Cour" Étant donné que le médiateur est le pilier central du système de "bouclier de protection de la vie privée", il est difficile de comprendre pourquoi l'AG n'a pas dit l'évidence : le bouclier de protection de la vie privée ne protège pas suffisamment les données de l'UE et doit donc être invalidé.

AG : Le DPC devrait faire son travail. Depuis plus de six ans, Schrems et Noub tentent d'obtenir du commissaire irlandais à la protection des données (DPC) qu'il prenne des mesures ciblées contre Facebook à propos du scandale des espions de la NSA, mais le DPC a trouvé des raisons interminables de ne pas appliquer la loi. Schrems : "L'avocat général dit maintenant à l'autorité irlandaise de protection des données de faire son travail"

Il est très possible que le CPPD doive également prendre en charge la facture juridique pour l'ensemble de cette affaire, qui pourrait s'élever à 10 millions d'euros. Schrems : "Après tout, le contribuable irlandais pourrait devoir payer jusqu'à 10 millions d'euros de frais de justice, pour que le CPP retarde cette affaire dans l'intérêt de Facebook"

Les autorités ont le devoir d'agir. Un autre élément très important est que l'avocat général précise que les autorités de protection des données ont le devoir d'agir en vertu de la loi. Schrems : "À l'heure actuelle, de nombreuses autorités de protection des données détournent simplement le regard lorsqu'elles reçoivent des rapports d'infraction ou ne traitent tout simplement pas les plaintes. C'est un grand pas en avant pour l'application du GDPR"

Les CSC peuvent rester. L'avocat général ne s'est pas rallié à l'opinion du DPC selon laquelle les CSC devraient être invalidées globalement. Toutes les autres parties à la procédure (y compris M. Schrems) n'ont pas exprimé de préoccupations concernant les CSC. L'Avocat général a expliqué au DPC que les CSC ont une "soupape de pression" intégrée (article 4 CSC) qui permet au DPC de suspendre les flux de données en cas de problème avec le droit américain. Schrems : "L'avis indique clairement que le DPC a la solution à cette affaire entre ses mains : Elle peut ordonner à Facebook d'arrêter les transferts demain. Au lieu de cela, elle s'est tournée vers la CJUE pour invalider l'ensemble du système. C'est comme crier pour les pompiers européens, parce que vous ne savez pas comment souffler une bougie vous-même"

AG applique le test de confidentialité des pays non membres de l'UE. En Europe, il existe deux corps de droits fondamentaux : Premièrement, la Convention européenne des droits de l'homme (CEDH), en vigueur depuis 1953, qui couvre 47 pays, dont tous les États membres de l'UE, mais aussi la Russie et la Turquie. Deuxièmement, la Charte des droits fondamentaux (CFR) de 2000, qui ne s'applique qu'au sein de l'UE et garantit généralement un niveau de protection plus élevé. L'UE n'a pas adhéré à la CEDH. L'AG applique maintenant la norme beaucoup plus faible de la CEDH, malgré le fait que la CJUE ait appliqué la Charte des droits fondamentaux dans le premier arrêt de cette affaire.

Schrems : "Étonnamment, l'avis suit la jurisprudence extrêmement favorable à la surveillance de la CEDH à laquelle l'UE n'a même pas adhéré, au lieu de la jurisprudence claire de la Cour de justice. Cela va à l'encontre de toute logique et de la jurisprudence antérieure de la Cour. L'AG a précédemment maintenu une approche plus "détendue" que la Cour sur les affaires de surveillance. Je doute que les juges se rallient à cette opinion".

Le choc des données entre les États-Unis et l'UE n'a pas pris fin. L'affaire elle-même ne peut pas surmonter le conflit plus profond entre les législations européenne et américaine. Schrems : "À long terme, j'espère que le législateur américain se rendra compte qu'aucun client étranger ne fera confiance à l'industrie américaine, s'il n'y a pas de protection solide de la vie privée aux États-Unis. Vous ne pouvez pas dire "faites-nous confiance avec toutes vos données, mais en fait vous n'avez aucun droit" Les États-Unis ont des préoccupations similaires concernant le matériel 5G chinois de Huawei ou des applications comme TikTok.

Impact pratique : Plus de vie privée pour les consommateurs de l'Union européenne, des problèmes énormes pour certaines entreprises américaines. Si la Cour suit l'avis d'aujourd'hui pour adopter une "approche ciblée", il n'y aurait aucune incidence sur la plupart des transferts de données dans l'UE. Les autorités européennes chargées de la protection des données peuvent toutefois mettre fin aux transferts vers les entreprises américaines qui relèvent de la norme FISA 702 ("fournisseurs de services de communications électroniques"). Il s'agit notamment de sociétés comme Facebook, Google, Microsoft, Amazon Web Services ou Yahoo.

Schrems : "Tout le monde pourra toujours avoir tous les flux de données nécessaires avec les États-Unis, comme l'envoi de courriels ou la réservation d'un hôtel aux États-Unis. Certaines entreprises européennes ne pourront peut-être plus faire appel à certains fournisseurs américains pour l'externalisation, car la législation américaine en matière de surveillance exige de ces entreprises qu'elles communiquent des données à la NSA. Il s'agit également d'un problème économique pour les États-Unis, car les revenus étrangers iront ailleurs. Il incombe réellement aux États-Unis de garantir une protection de base de la vie privée des étrangers. Sinon, personne ne fera confiance aux entreprises américaines pour leurs données"

noyb.eu L'affaire est soutenue par l'organisation européenne à but non lucratif noyb.eudont M. Schrems est également le président d'honneur. noyb.eu est financé par plus de 3 000 membres bienfaiteurs et travaille sur des litiges stratégiques pour mettre en pratique le droit fondamental à la protection des données.

L'équipe juridique de M. Schrems a introduit cette affaire à titre bénévole et est soutenue par une équipe d'avocats d'Irlande, des États-Unis et du Luxembourg. M. Schrems est représenté par Eoin McCullhan, chargé par Ahern Rudden Quigley Solicitors. Le professeur Herwig Hofmann a soutenu la cause sur les questions de droit européen. Ashley Gorski, de l'Union américaine des libertés civiles (ACLU.org) a assisté en tant que témoin expert sur la législation américaine en matière de surveillance.

Déclarations audio et vidéo

Nous allons essayer de télécharger un court communiqué audio à l'usage des radios et des podcasts. Le lien vers le fichier sera ajouté ici. Reuters et l'Associated Press filmeront une courte vidéo à 12h30 CET dans nos bureaux de Vienne. D'autres médias pourraient vouloir utiliser cette vidéo.

Pour plus d'informations

noyb.eu Vérifiez @noybeu et @maxschrems pour plus de mises à jour

+43 660 2678622 media@noyb.eu

Irlande : Gerard Rudden, ARQ Solicitors (représentant M. Schrems)

+353 1 661 6102 gerard.rudden@arqsolicitors.com

Pour la législation américaine : Ashley Gorski, ACLU media@aclu.org

Uploads