La CJUE entend une affaire sur les transferts de données entre l'UE et les États-Unis (Clauses contractuelles types et Privacy Shield)

En raison d'un certain nombre de demandes, nous avons résumé les principaux faits de l'affaire portée devant la Cour de justice de l'Union européenne (CJUE) concernant les transferts de données entre l'UE et les États-Unis et la surveillance de masse par le gouvernement américain. L'affaire sera entendue demain (mardi 9 juillet à 9h00) devant la Grande Chambre de la Cour de justice.

Malentendus courants sur cette affaire

• L'affaire concerne-t-elle tous les transferts de données entre l'UE et les États-Unis ? Non, elle concerne uniquement les transferts vers les États-Unis qui font l'objet d'une "surveillance de masse". Dans la plupart des cas, il existe des moyens simples d'éviter la surveillance de masse et de nombreux secteurs industriels (par exemple, les banques, les compagnies aériennes, le commerce et la banque) ne tombent pas sous le coup d'une telle loi de surveillance de masse. La plainte de M. Schrems ne vise que Facebook, qui est désigné dans le document de Snowden comme aidant la NSA dans sa surveillance de masse dans le cadre de "PRISM".

• Cette affaire concerne-t-elle tous les transferts internationaux de données de l'UE ? Parmi les parties à la procédure, seul le commissaire irlandais à la protection des données estime que les "clauses contractuelles types" (CCS) sont invalides. M. Schrems est d'avis que (si elles sont correctement appliquées et mises en œuvre par le CPD) les CCT constituent une solution appropriée. Aucune autre partie à la procédure irlandaise que le DPC n'a soulevé de problème de validité.

• Tous les transferts de données vers les États-Unis sont-ils problématiques ? Non. Les lois sur la surveillance comme la FISA 702 ne s'appliquent qu'aux "fournisseurs de services de communication électronique". Le droit européen fait également la distinction entre les transferts nécessaires (écoutez dans les dérogations) et l'"externalisation" inutile du traitement. En combinaison, le problème se pose principalement avec les fournisseurs de services d'informatique dématérialisée et de communication qui tombent sous le coup des lois de surveillance (par exemple Facebook, Google, Apple, Amazon Web Services), mais pas avec les autres secteurs industriels ou les transferts de données "nécessaires" (par exemple les e-mails, les réservations et autres).

• M. Schrems plaide-t-il pour l'invalidation des CSC ? Non. M. Schrems soutient que les CSC permettent au commissaire irlandais à la protection des données d'arrêter des transferts de données individuels, tels que celui effectué par Facebook. Comme il existe une solution évidente au problème, il n'y a pas de question de validité selon lui.
• Le "Privacy Shield" est-il sur la table ? Oui. Facebook s'est appuyé sur l'évaluation de la législation américaine par la Commission européenne dans le cadre du "Privacy Shield" et soutient que cette évaluation devrait également s'appliquer aux "Clauses contractuelles types". M. Schrems a fait valoir à son tour que cette évaluation de la Commission est erronée. Le Privacy Shield étant basé sur une fausse interprétation du droit américain, il devrait être invalidé.

• Pourrez-vous toujours envoyer des courriels aux États-Unis ou réserver un vol ? Oui. L'article 49 du GDPR prévoit des "dérogations" qui autorisent tous les transferts de données s'ils sont par exemple "nécessaires à la fourniture d'un contrat" ou si l'utilisateur y a explicitement consenti. Par exemple : Il est nécessaire d'envoyer un courriel aux États-Unis si le destinataire s'y trouve, mais il n'est pas nécessaire d'envoyer des courriels via les États-Unis si l'expéditeur et le destinataire sont en Europe.

• Quel type de transferts doit-on alors arrêter ? Essentiellement l'"externalisation" du traitement des données qui pourrait également être effectué en Europe ou dans d'autres pays qui offrent des normes de protection des données appropriées.

Historique de l'affaire

L'affaire est centrée sur une plainte déposée par Max Schrems, avocat spécialisé dans la protection de la vie privée, contre Facebook en 2013(lien vers la plainte). Il y a plus de six ans, Edward Snowden a révélé que Facebook permet aux services de renseignement américains d'accéder aux données personnelles des Européens dans le cadre de programmes de surveillance comme "PRISM" (voir Wikipédia). La plainte vise à faire cesser les transferts de données de Facebook entre l'UE et les États-Unis. Jusqu'à présent, le CPD irlandais n'a pris aucune mesure concrète en ce sens.

Premier rejet et arrêt de la CJUE sur le Safe Harbor

L'affaire a été rejetée une première fois par le commissaire irlandais à la protection des données (DPC) en 2013, puis a fait l'objet d'un contrôle judiciaire en Irlande et d'un renvoi devant la Cour de justice de l'Union européenne (CJUE). La CJUE a statué en 2015 que l'accord dit "Safe Harbor" qui permettait les transferts de données entre l'UE et les États-Unis n'était pas valide(lien vers l'arrêt C-362/14), et que le DPC irlandais devait enquêter sur cette affaire, ce qu'il avait initialement refusé de faire.

Information sur l'utilisation des "clauses contractuelles types"

De manière surprenante, le DPC a informé M. Schrems fin 2015 que Facebook ne s'était en fait jamais appuyé sur l'accord "Safe Harbor", désormais invalidé, mais qu'il s'était plutôt appuyé dès 2013 sur des "clauses contractuelles standard" (un autre mécanisme de transfert de données de l'UE vers les États-Unis). Le CPD n'avait pas révélé ce fait et avait plutôt suggéré que le Safe Harbor les bloquait pour poursuivre l'affaire. Ce "détour" a rendu la première décision de la CJUE non pertinente pour l'affaire.

Deuxième enquête et action en justice

M. Schrems a adapté sa plainte aux transferts effectués en vertu de "clauses contractuelles types" et a également exigé la fin des transferts de données vers Facebook USA, en se fondant sur l'argument selon lequel ils mettent les données à la disposition de la NSA. L'enquête du CPD n'a duré que quelques mois, de décembre 2015 au printemps 2016. Au lieu de se prononcer sur la plainte, le DPC a intenté une action en justice contre Facebook et M. Schrems (tous deux sont désormais des défendeurs) devant la Haute Cour irlandaise en 2016, afin de renvoyer des questions supplémentaires à la CJUE. Après plus de six semaines d'audience se déroulant principalement en 2017, la Haute Cour irlandaise a estimé que le gouvernement américain se livrait à un "traitement de masse" des données personnelles européennes et a transmis onze questions à la CJUE pour la deuxième fois(lien vers le jugement) en 2018.

Prochaines étapes

La CJUE a inscrit l'affaire sous le numéro C-311/18 et l'entendra pour la deuxième fois le 9 juillet 2019 - soit environ six ans après le dépôt de la plainte initiale. Un jugement est attendu avant la fin de l'année. Après le jugement de la CJUE, le CPH devrait enfin se prononcer sur la plainte pour la première fois. La décision pourrait à nouveau faire l'objet d'appels de la part de Facebook ou de M. Schrems.

Arguments principaux des parties

• Le commissaire irlandais à la protection des données partage l'avis de M. Schrems selon lequel les lois de surveillance américaines violent les droits fondamentaux à la vie privée, à la protection des données et à la réparation en vertu du droit européen. La DPC affirme cependant qu'elle n'a pas le pouvoir de résoudre ce problème. Étant donné que le mécanisme de transfert de données utilisé par Facebook (clauses contractuelles types) ne prévoit pas une telle situation, les clauses elles-mêmes doivent être invalidées. Cela signifie que les transferts de données vers tout pays non membre de l'UE dans le cadre de cet instrument devraient être arrêtés.
• Facebook estime que le droit américain ne va pas au-delà de ce qui est légal en vertu du droit européen. Facebook se demande également si l'UE a une quelconque compétence en matière de "sécurité nationale". En résumé, Facebook ne voit aucun problème à continuer à transférer des données vers les États-Unis dans le cadre de lois de surveillance de masse comme la FISA. Facebook s'appuie également sur l'évaluation de la législation américaine par la Commission européenne dans la décision dite "Privacy Shield", qui affirme que les lois de surveillance américaines sont conformes aux exigences de l'UE.
• Schrems est d'accord avec le CPD sur le problème, mais propose une solution plus mesurée. La loi (article 4 de la CSC) permet au CPD d'arrêter des transferts de données individuels (comme ceux de Facebook). M. Schrems dit que le CPD irlandais a le devoir d'agir, au lieu de renvoyer l'affaire à la CJUE. En ce qui concerne le recours de Facebook au "Privacy Shield", M. Schrems est d'avis que la décision de la Commission européenne relative au Privacy Shield ne décrit pas de manière adéquate les lois de surveillance américaines, qu'elle n'est même pas capable de fournir des protections adéquates de la vie privée et qu'elle doit donc être invalidée.
• La Commission européenne : La Commission européenne devrait défendre ses deux décisions : Les Clauses Contractuelles Types et le Privacy Shield. Elle se rangera probablement du côté des États-Unis et de Facebook, estimant qu'il n'y a pas de violation des droits fondamentaux aux États-Unis, mais reconnaîtra également que le CPD a le pouvoir de résoudre lui-même la question si la CJUE constate une violation des droits fondamentaux aux États-Unis.

Déclaration de M. Schrems

Max Schrems, président de la noyb: "Nous proposons une solution mesurée : Le DPC irlandais doit simplement appliquer les règles correctement, au lieu de renvoyer l'affaire au Luxembourg encore et encore. Cette affaire est en cours depuis six ans. Au cours de ces six années, le CPD n'a pris de décision que dans 2 à 3 % des cas qui lui ont été soumis. Nous n'avons pas de problème avec les "clauses contractuelles types", nous avons un problème de mise en œuvre"

noyb

noyb est une nouvelle organisation européenne à but non lucratif qui fait respecter le droit à la vie privée par le biais de litiges. Elle soutient cette affaire et est elle-même soutenue par plus de 3.500 membres donateurs.

Chiffres clés

Les parties devant le tribunal sont le commissaire irlandais à la protection des données, Facebook Ireland Ltd et Max Schrems. Le tribunal irlandais a également autorisé quatre "amicus curiae" (aides neutres au tribunal) à se joindre à l'affaire, à savoir le gouvernement américain, l'Electronic Privacy Information Center (epic.org) et deux organisations de lobbying du secteur.

Tous les États membres de l'UE, la Commission européenne, le Parlement européen et le Comité européen de protection des données (EDPB) ont pu présenter des observations.