Deep Dive : Comment Facebook tente d'ignorer la CJUE - malgré deux arrêts.

19 Déc 2021

Deep Dive : Comment ignorer les décisions de la CJUE en trois étapes. L'évaluation de l'impact des transferts de Facebook expliquée.

Pour les geeks de la vie privée, qui veulent en savoir plus que ce que nous avons résumé dans notre 4ème lecture de l'Avent, nous fournissons une plongée plus profonde sur cette page sur les quatre éléments de l'évaluation de l'impact du transfert de Facebook (TIA).

Notre approche de ces divulgations. Pour éviter de coûteuses poursuites "SLAPP", certains éléments ne sont pas disponibles dans certaines juridictions et nous avons décidé de résumer les documents dans une vidéo au lieu de les publier directement. Lorsque la substance du document est plus pertinente, nous l'expliquons plus en détail et nous en citons des éléments. Il y a une vidéo par document. Vous pouvez lire les détails sur les raisons pour lesquelles nous pouvons utiliser ce document légalement en bas de page.

Document 1 : Document de base

Le document de base fait essentiellement référence aux trois autres documents, examinés ci-dessous. Il compte 7 pages et est assez intéressant, car il semble être le "résumé" des autres documents et donne une vue d'ensemble. La partie essentielle de l'EIT est clairement l'"évaluation de l'équivalence", où Facebook ignore totalement les arrêts de la CJUE et arrive à la conclusion que le droit européen et le droit américain sont "équivalents". Les deux autres documents ne sont présentés que comme des ressources supplémentaires. L'"évaluation des facteurs" décrit principalement le fait que des données sont envoyées aux États-Unis et de quelles données il s'agit, ainsi que le fait que le gouvernement américain y a accès en vertu de la loi FISA 702. Le "Record of Safeguards" contient également les prétendues "mesures supplémentaires", même si aucune mesure n'aborde clairement les lois de surveillance américaines ou l'arrêt de la CJUE. En fin de compte, il s'agit simplement d'une liste de pratiques industrielles standard.

En résumé, l'argument selon lequel le droit européen et le droit américain sont "équivalents" constitue l'épine dorsale et le seul pilier de l'approche de Facebook.

Document 2 : Évaluation de l'équivalence des lois américaines

L'"Equivalence Assessement" ("EA") est un document de 58 pages explicitement approuvé par les cabinets d'avocats de Facebook, Mason Hayes & Curran LLP et Perkins Coie LLP (paragraphe 1.4 de l'EA). Le document est mieux résumé par les propres mots de Facebook (page 7 du document Outline) :

Pour arriver à ce résultat, Facebook fait valoir que la CJUE ne disposait pas de tous les faits pertinents pour parvenir à sa conclusion, bien que Facebook ait soumis environ 45 000 pages dans la procédure. Facebook fait également valoir que la CJUE a uniquement rejeté l'évaluation de la Commission européenne dans le cadre du "Privacy Shield", mais n'a pas traité en détail l'évaluation de Facebook. Par conséquent, selon Facebook, la CJUE ne se serait jamais prononcée sur les transferts de Facebook dans le cadre des CSC. Ceci est en fait incorrect, puisque la CJUE a souligné au paragraphe 168 de l'arrêt, qu'elle s'est appuyée sur les préoccupations de la Haute Cour irlandaise et sur le Privacy Shield de la Commission. Il y a eu des soumissions substantielles sur ces questions par Facebook et le gouvernement américain devant la CJEU. Néanmoins, la CJUE a clairement statué que la loi américaine n'est pas seulement non "équivalente" mais qu'elle viole les articles 7, 8 et 47 de la Charte des droits fondamentaux.

Facebook ne tient pas compte non plus du droit européen en confondant principalement les jugements de la Cour européenne des droits de l'homme (CEDH) de Strasbourg (qui fait partie du Conseil de l'Europe et compte 47 États membres, dont la Turquie et la Russie) en vertu des normes peu élevées des articles 6 et 8 de la Convention européenne des droits de l'homme (CEDH) avec les jugements de la Cour de justice de l'Union européenne (CJUE) et ses normes beaucoup plus élevées en vertu de la Charte des droits fondamentaux de l'Union européenne (CDF).

Contrairement à l'approche du droit européen, Facebook "amplifie" les protections prévues par le droit américain, qu'il a déjà présentées d'innombrables fois devant la Haute Cour irlandaise et la Cour de justice dans le cadre du litige "Schrems II". Elles ont toutes été rejetées. Néanmoins, Facebook s'appuie à nouveau sur ces éléments pour parvenir à sa conclusion que le droit américain offrirait des protections aux personnes non américaines.

Cette combinaison de rejet total de l'arrêt de la CJUE, de dépréciation du droit européen et d'amplification du droit américain justifie en quelque sorte les transferts illégaux de données entre l'UE et les États-Unis.

Document 3 : Évaluation des facteurs

Dans l'"évaluation des facteurs" de sept pages, Facebook ne soutient pas vraiment que certains facteurs limitent d'une manière ou d'une autre l'impact des transferts de données entre l'UE et les États-Unis.

Au contraire, l'introduction explique que dans le cadre de l'"évaluation de l'équivalence", Facebook arrive à la conclusion que le droit européen et le droit américain sont équivalents (contrairement aux arrêts de la CJUE). Par conséquent, Facebook affirme que l'évaluation des facteurs est plutôt une description "au cas par cas" de ses transferts UE-USA, plutôt que des facteurs limitant la surveillance.

Les facteurs limités qui indiqueraient une moindre interférence avec les droits fondamentaux de l'UE, selon Facebook, sont par exemple le nombre de demandes du gouvernement américain selon le propre rapport de transparence de Facebook. Les autres "facteurs" décrivent simplement des faits tels que le fait que le destinataire est Facebook Inc. ou que Facebook Inc. reçoit effectivement des demandes FISA du gouvernement américain (page 7 de l'"évaluation des facteurs") :

On ne voit pas bien comment ces "facteurs" peuvent contribuer à rendre un transfert légal. En fait, Facebook ne semble pas vraiment s'appuyer sur ces "facteurs" pour justifier que le transfert serait légal, mais a plutôt conçu le document comme une simple description factuelle. L'argument principal reste que la CJUE a tort et que le droit européen et américain est en fait équivalent.

Document 4 : Registre des mesures de sauvegarde, y compris les mesures supplémentaires

Enfin, Facebook a généré un document de 14 pages intitulé"Record of Safeguards", qui est principalement un long tableau de "mesures", comprenant des "mesures organisationnelles" ainsi que des "mesures techniques". Il s'agit en fait de toutes les politiques de base, requises par exemple en vertu de l'article 32 du GDPR, comme la "gestion des appareils mobiles" ou l'existence d'une politique interne sur la façon de réagir aux demandes du gouvernement.

Il est intéressant de noter que Facebook n'emploie que 130 personnes pour répondre à toutes les demandes gouvernementales dans le monde. Cela signifierait qu'une demande légale est vérifiée pendant une moyenne d'environ 10 à 15 minutes. Comme mesure de protection contre les fausses demandes gouvernementales, Facebook souligne principalement qu'il vérifie si l'adresse électronique provient d'un nom de domaine gouvernemental. Il n'est pas clair si Facebook vérifie si une entité gouvernementale spécifique a le droit de demander des données personnelles aux titulaires de comptes.

Le seul élément qui mentionne FISA 702 et EO 12.333 souligne que Facebook utilise des algorithmes et des protocoles de cryptage standard de l'industrie en transit, ces normes sont le cryptage TLS (comme d'habitude pour tout site web) et le cryptage AES (comme tout smartphone). Facebook reconnaît que toutes les données ne sont pas chiffrées, puisqu'il mentionne que seule la quasi-totalité du trafic Facebook est chiffrée en TLS. En fait, il n'y a aucune mesure qui protégerait de quelque manière que ce soit contre un ordre sous FISA 702 PRISM / DOWNSTREAM (donc surveillance directement à Facebook), mais sont seulement connectés à "UPSTREAM" (donc surveillance via la dorsale Internet). Comme Facebook détient toutes les clés de cryptage et peut accéder à toutes les données en clair, il est impossible que TLS et AES soient une protection pertinente :

Facebook conclut le document par des mesures "proactives", comme le lobbying et la contribution à l'élaboration de la loi américaine, et par la mise à disposition de plus d'informations pour les utilisateurs dans les FAQ.

Nous avons interrogé Alan Butler d'epic.org sur le "Record of Safeguards" :

Base légale de la publication. Comme indiqué dans notre première lecture de l'Avent, les quatre lectures de l'Avent sur le noyb sont une protestation contre la suppression illégale du noyb par la DPC dans une procédure en cours. Tous les documents ont été fournis via la procédure de plainte de M. Schrems, en cours depuis 8 ans et demi devant le DPC irlandais.

Dans un système défini par les avocats de M. Schrems et accepté par le DPC, M. Schrems est autorisé à utiliser librement les documents de la procédure, dans les cas où Facebook est légalement tenu de fournir ces documents, ce qui est clairement le cas ici :

L'article 5(1)(a) du GDPR impose à Facebook de faire preuve de transparence. L'article 13(1)(f) impose à Facebook d'informer les utilisateurs sur la manière d'obtenir une copie des mesures, justifiant un transfert international et l'article 15(2) GDPR prévoit spécifiquement un droit d'en obtenir une copie. En fait, les utilisateurs ne sont pas en mesure de contester un transfert de données, s'ils ne sont pas informés des protections existantes. Les CCN elles-mêmes prévoient des dispositions similaires puisqu'elles donnent aux utilisateurs le droit de faire appliquer les CCN (clauses 3, 8.9 et 14 des CCN). Il semble que toute entreprise qui utilise Facebook en tant que sous-traitant ou contrôleur conjoint devrait également recevoir l'accord de confidentialité.

Néanmoins, la position de Facebook et du DPC irlandais est que le GDPR et les SCC ne permettent pas aux utilisateurs d'obtenir une copie de l'accord de confidentialité de Facebook, mais qu'ils ne sont disponibles que pour l'autorité de surveillance compétente (donc dans ce cas uniquement le DPC).

Ces documents ne contiennent même pas d'informations commercialement ou techniquement sensibles et ne sont pas protégés par une quelconque loi pertinente.