Au fond, cette affaire concerne un conflit de lois entre les lois américaines sur la surveillance, qui exigent la surveillance, et les lois européennes sur la protection des données, qui exigent le respect de la vie privée.
Depuis 2013, cette affaire sur la surveillance de masse des États-Unis et les entreprises de l'UE qui y participent est en suspens. Elle a été portée devant la Haute Cour irlandaise et la Cour de justice de l'Union européenne (CJUE) à deux reprises et a même fait un bref passage à la Cour suprême irlandaise. L'histoire de cette affaire est à bien des égards unique.
Contexte
Au fond, cette affaire concerne un conflit de lois entre les lois américaines sur la surveillance, qui exigent la surveillance, et les lois européennes sur la protection des données, qui exigent le respect de la vie privée.
Problème : les lois de surveillance américaines
En 2013, Edward Snowden a révélé publiquement que les agences de renseignement américaines avaient accès aux données personnelles des utilisateurs européens à l'aide de programmes de surveillance tels que PRISM. Cet accès a été facilité par une loi américaine dont on ne sait pas si elle a été utilisée pour permettre une surveillance d'une telle portée, appelée 50 U.S.C. §1881a (ou FISA 702). La FISA 702 a été adoptée en 2008 et a fondamentalement élargi les possibilités de surveillance et d'accès aux données pour les autorités américaines. Parallèlement à cette expansion, les fournisseurs américains de services de communication électronique (comme Apple, Microsoft, Facebook, Google et Yahoo) collectaient de plus en plus de données à caractère personnel. L'ensemble de ces mesures a eu un impact de plus en plus préjudiciable sur la vie privée des utilisateurs européens.
En vertu de la loi FISA 702, les "fournisseurs de services de communication électronique" américains (tels que définis à l'article 1881(4) du 50 U.S.C.) peuvent être contraints de donner aux autorités de sécurité américaines l'accès aux données personnelles de "personnes non américaines", définies comme toute personne qui n'est pas un citoyen américain ou un résident permanent des États-Unis. Les ordres de surveillance prévus par cette loi ne sont pas tenus d'être spécifiques à une cible individuelle, mais autorisent plutôt un programme de surveillance globale tel que PRISM ou Upstream. Il n'y a pas d'approbation judiciaire individualisée pour les personnes non américaines. La FISA 702 autorise également la surveillance à des fins assez larges, telles que "les informations qui ... se rapportent ... à la conduite des affaires étrangères des États-Unis"(voir 50 U.S.C. §1801(e)).
Il existe également des pouvoirs de surveillance américains fondés sur le "pouvoir inhérent du président des États-Unis" et définis plus précisément dans un décret(EO 12.333), tandis que d'autres éléments sont décrits dans la directive de politique présidentielle 28(PPD-28). Il s'agit dans les deux cas de décrets internes à l'exécutif qui ne créent aucune obligation ni aucun droit pour les entités privées, mais qui autorisent la surveillance de personnes non américaines.
Les documents divulgués par Edward Snowden énumèrent un certain nombre d'entreprises américaines qui fournissent des données au gouvernement américain pour des programmes de surveillance tels que PRISM ou Upstream en vertu de ces dispositions, notamment Apple, Microsoft, Facebook, Google et Yahoo.
Réaction : Le GDPR limite les transferts de données
Les lois européennes sur la protection de la vie privée (l'ancienne directive 95/46, et maintenant le GDPR) sont basées sur le concept de libre circulation des données personnelles, mais seulement dans une sphère qui protège la vie privée de l'utilisateur. Si les données à caractère personnel n'étaient protégées qu'au sein de l'Union européenne mais pouvaient être transférées en dehors de la juridiction de l'UE sans aucune restriction, le niveau élevé de protection des données à caractère personnel nécessaire au sein de l'UE pourrait facilement être remis en cause.
Toutefois, le droit communautaire a toujours prévu des exceptions à ce principe de limitation des transferts, notamment lorsque des données à caractère personnel doivent nécessairement être transférées (par exemple, lors de la réservation d'un service à l'étranger ou de l'envoi d'un courrier électronique) ou lorsqu'un utilisateur consent librement à un transfert. Ces dérogations pour les transferts non structurels sont actuellement codifiées à l'article 49 du GDPR.
En outre, la législation de l'UE reconnaît qu'il peut y avoir des situations où des entreprises non européennes fournissent un niveau de protection équivalent pour les données à caractère personnel. Dans certains pays, le droit national est similaire au droit de l'UE (par exemple en Suisse, en Israël, au Canada ou au Japon), et dans d'autres pays, les entreprises peuvent s'engager volontairement à respecter les principes de l'UE en signant des accords de droit civil, tels que les clauses contractuelles types (CCN), les règles d'entreprise contraignantes (Binding Corporate Rules) ou le bouclier de protection de la vie privée UE-États-Unis (EU-US Privacy Shield). Ces dernières bases juridiques figurent aux articles 46 à 48 du GDPR et sont largement utilisées dans des situations que l'on peut décrire comme une "externalisation" du traitement des données à caractère personnel par les entreprises vers des pays non membres de l'UE.
Les États-Unis n'ayant pas de loi omnibus ou fédérale sur la protection de la vie privée, les entreprises américaines doivent s'appuyer sur l'une des options contractuelles prévues aux articles 46 à 48 du GDPR pour l'externalisation. Toutefois, pour les entreprises qui tombent sous le coup des lois de surveillance américaines, le recours à ces options contractuelles est impossible dans la pratique, car la législation américaine les oblige à enfreindre leurs obligations en vertu de la législation européenne. Ce problème est au cœur de toutes les affaires opposant M. Schrems, le commissaire irlandais à la protection des données (DPC) et Facebook, car Facebook relève clairement des lois de surveillance américaines et a participé à des programmes tels que PRISM, tout en signant de manière contradictoire les CSC, Safe Harbor et maintenant Privacy Shield (la décision sur les transferts de données entre l'UE et les États-Unis remplaçant Safe Harbor).
Première saisine de la CJUE en 2013-2015 ("Safe Harbor")
Procédure devant le commissaire irlandais à la protection des données (DPC)
Après les révélations de Snowden, M. Schrems (alors étudiant en droit autrichien) a déposé une plainte contre Facebook Ireland Ltd devant le commissaire irlandais à la protection des données (DPC). La plainte faisait valoir qu'en vertu de la Décision 2000/520/CE de la sphère de sécurité entre l'UE et les États-Unis (décision exécutive prise par la Commission européenne en 2000), les données personnelles de M. Schrems ne devraient pas être envoyées de Facebook Ireland Ltd (qui sert les utilisateurs de Facebook en dehors des États-Unis et du Canada) à Facebook Inc. (la société mère américaine), étant donné que Facebook doit accorder à l'Agence nationale de sécurité des États-Unis l'accès à ces données.
Le DPC irlandais a rejeté la plainte de M. Schrems en la qualifiant de "frivole et vexatoire", arguant que Facebook s'appuyait sur la décision relative à la sphère de sécurité pour effectuer ses transferts de données vers les États-Unis. Selon le DPC, la Commission européenne avait accepté que la loi américaine soit adéquate dans la décision de 2000 (8 ans avant l'adoption de l'article 1881a du 50 U.S.C.) et que le DPC était absolument lié par la décision de la Commission.
Recours judiciaire contre la DPC
En octobre 2013, M. Schrems a demandé un contrôle judiciaire de la décision de la DPC, arguant que la DPC pouvait utiliser une "clause d'urgence" dans la décision relative à la sphère de sécurité pour suspendre le transfert de données, et qu'en tout état de cause, la décision relative à la sphère de sécurité n'était pas valable. Dans un arrêt du 18. 6. 2014 [2014] IEHC 310, la High Court irlandaise a suspendu la procédure et renvoyé l'affaire devant la Cour de justice de l'Union européenne (CJUE). La High Court irlandaise s'est largement accordée sur le fait qu'il existe une "surveillance de masse" en vertu du droit américain, mais a estimé qu'elle ne pouvait pas prendre une décision finale sur le cas de M. Schrems sans déterminer d'abord la validité de la décision relative à la "sphère de sécurité". En vertu du droit communautaire, seule la CJUE peut se prononcer sur la validité d'actes communautaires tels que la décision relative à la sphère de sécurité, ce qui signifie que la High Court irlandaise a dû renvoyer l'affaire devant la CJUE.
Arrêt de la CJUE du 6 octobre 2015 (C-362/14)
Dans un arrêt novateur (C-362/14 Schrems) la CJUE a déclaré la décision Safe Harbor invalide, suivant en grande partie les arguments de M. Schrems. La Cour a estimé qu'un pays tiers tel que les États-Unis doit fournir un niveau de protection"essentiellement équivalent" à celui offert par le droit de l'UE, et que"la législation permettant aux autorités publiques d'avoir un accès généralisé" violait l'essence du droit fondamental de l'UE au respect de la vie privée en vertu de l'article 7 de la Charte des droits fondamentaux de l'UE (CFR). De même, l'absence de tout recours juridique aux États-Unis pour les personnes non américaines constitue une violation du droit fondamental à un recours judiciaire en vertu de l'article 47 de la CFR.
À la suite de l'arrêt de la CJUE, la High Court irlandaise a clôturé la procédure devant les tribunaux irlandais, le DPC s'étant engagé à mettre rapidement en œuvre la décision de la CJUE.
Deuxième saisine de la CJUE en 2015-20 (CSC et Privacy Shield)
Information selon laquelle Facebook s'est effectivement appuyé sur les CSC
À la grande surprise de M. Schrems, le CPD l'a informé en novembre 2015 que l'arrêt de la CJUE sur la décision relative à la sphère de sécurité n'était pas pertinent pour sa plainte initiale, car Facebook s'était en fait toujours appuyé sur ce que l'on appelle les "clauses contractuelles types" (CCN) pour effectuer ses transferts de données. Le CPD n'avait pas divulgué cette information à M. Schrems, lui laissant croire que Facebook s'était appuyé sur le Safe Harbor, alors qu'il avait déjà reçu cette information de Facebook dans un courriel de réponse à la plainte en 2013.
M. Schrems a donc reformulé sa plainte pour y inclure les CSC et toute autre base juridique pour les transferts de données qui pourrait être invoquée par Facebook, et a fourni au CPD une plainte mise à jour le 1er décembre 2015. M. Schrems a fait valoir que le CPD devrait utiliser l'article 4 de la décision de la CSC pour suspendre les transferts, étant donné que l'article 4 permet au CPD de suspendre les transferts de données si les droits fondamentaux des utilisateurs sont violés.
Poursuite du CPD contre Facebook et M. Schrems
Au lieu de se prononcer rapidement sur l'affaire, le CPD a étonnamment intenté une action en justice contre Facebook Ireland Ltd et M. Schrems peu de temps après avoir commencé son "enquête" sur la plainte reformulée impliquant les deux parties. De l'avis du DPC, les deux parties étaient les "défendeurs naturels" dans cette affaire, et le DPC a été contraint de demander à la High Court d'adresser un nouveau renvoi à la Cour de justice de l'UE. M. Schrems a contesté l'affaire, arguant que le CPD ne peut saisir la CJUE une seconde fois que lorsque tous les faits et questions ont été examinés.
Plusieurs parties ont demandé à être associées à l'affaire en tant qu'amicus (auxiliaires neutres du tribunal) ; le gouvernement américain, EPIC.org et deux groupes de pression de l'industrie ont été associés à l'affaire.
Dans l'action en justice, le DPC a fait valoir qu'il partageait non seulement le point de vue de M. Schrems quant à ses préoccupations concernant la législation américaine en matière de surveillance, mais qu'il avait également de sérieuses inquiétudes quant à la validité des CSC utilisées par Facebook. Le CPD a estimé que les CSC ne prévoient pas de mécanisme légal de transfert de données si un pays tiers comme les États-Unis a adopté des lois qui sont en conflit avec les CSC. Facebook et M. Schrems n'ont pas contesté les CSC elles-mêmes et ont convenu que, dans un tel cas, l'article 4 de la décision (UE) 2010/87 sur les CSC permettrait de trouver une solution.
Contrairement à M. Schrems et au CPD, Facebook ne voit aucun problème dans les lois de surveillance américaines et estime que l'UE n'est pas compétente pour les questions de "sécurité nationale". Facebook s'est également appuyé sur la décision Privacy Shield (EU) 2016/1250 de la Commission européenne, qui a remplacé la décision Safe Harbor invalidée. Dans cette décision, la Commission européenne a estimé qu'il n'y avait pas de conflit entre les lois de surveillance américaines et les droits fondamentaux de l'UE. Selon Facebook, cette conclusion de la décision Privacy Shield doit également s'appliquer aux transferts effectués dans le cadre des CSC. M. Schrems a estimé que la décision relative au bouclier de protection de la vie privée était elle-même invalide, car elle présente de manière erronée les lois américaines en matière de surveillance et n'est donc pas en mesure d'interpréter les accords de coopération en matière de protection de la vie privée.
Après plusieurs étapes procédurales et plus de cinq semaines d'audiences auxquelles ont participé de nombreux témoins experts du droit américain de la surveillance, la Haute Cour irlandaise a reconnu l'existence des programmes de surveillance de masse du gouvernement américain. Dans un arrêt du 3 octobre 2017 [2017] IEHC 545, la Haute Cour irlandaise a résumé toutes les constatations factuelles, soulignant que les États-Unis effectuent un "traitement de masse" des données à caractère personnel, lorsque, par exemple, ils filtrent l'ensemble du trafic internet qui transite par certaines parties de la dorsale internet. Le 13 avril 2018, elle a posé onze questions interprétatives à la CJUE. Les questions ont été rédigées dans une large mesure par le DPC.
À la suite du renvoi, Facebook a saisi la Cour suprême irlandaise pour tenter d'arrêter le renvoi par la High Court, mais le recours a finalement été rejeté le 31 mai 2019.
Procédure devant la CJUE (C-311/18)
Le 30 août 2018, les parties devaient soumettre leurs observations écrites.
Le 19 juillet 2019, la CJUE a entendu l'affaire devant la Grande Chambre (la plus grande composition de la Cour, avec 15 juges), les trois parties, les quatre amicus, la Commission européenne, le Parlement européen, le Comité européen de la protection des données (CEPD) et un grand nombre de gouvernements des États membres de l'UE. Les questions des juges se sont concentrées en particulier sur les questions relatives aux lois de surveillance américaines et à la validité de la décision du Privacy Shield.
Le 19 décembre 2019, l'avocat général de la Cour a rendu ses conclusions consultatives non contraignantes sur l'affaire, rejoignant largement la position de M. Schrems. Selon l'avis, les lois de surveillance américaines sont incompatibles avec les droits fondamentaux de l'UE, mais la solution à l'incompatibilité réside dans le CPD ordonnant la suspension des transferts de données en vertu de l'article 4 de la décision de la CSC. Bien que l'avocat général ait explicitement critiqué la décision relative au bouclier de protection de la vie privée, il a estimé que la question de sa validité ne faisait pas partie intégrante de l'affaire.
Le 16 juillet 2020, la Cour de justice a rendu sa décision "Schrems II", se rangeant entièrement à la position du plaignant, invalidant la décision "Privacy Shield", exigeant que la DPC mette fin aux transferts de données et estimant que les lois de surveillance américaines violent les articles 7 (droit à la vie privée), 8 (droit à la protection des données) et 47 (droit de recours) de la Charte européenne des droits fondamentaux.