La CJUE entend l'affaire sur les transferts de données entre l'UE et les États-Unis (clauses contractuelles types et bouclier de protection de la vie privée)

08 Juil 2019

Télécharger : Communiqué de presse

En raison d'un certain nombre de demandes, nous avons résumé les principaux faits de l'affaire portée devant la Cour de justice de l'Union européenne (CJUE) sur les transferts de données entre l'UE et les États-Unis et la surveillance de masse par le gouvernement américain. L'affaire sera entendue demain (mardi 9 juillet à 9h00) devant la Grande Chambre de la Cour de justice.

Malentendus courants de l'affaire

  • Cette affaire concerne-t-elle tous les transferts de données entre l'UE et les États-Unis ? Non, il ne concerne que les transferts vers les États-Unis qui font l'objet d'une "surveillance de masse". Dans la plupart des situations, il existe des moyens simples d'éviter la surveillance de masse et de nombreux secteurs industriels (par exemple, les banques, les compagnies aériennes, le commerce et les banques) ne sont pas soumis à une telle loi de surveillance de masse. La plainte de M. Schrems ne vise que Facebook, qui est cité dans le document Snowden comme aidant la NSA dans la surveillance de masse sous "PRISM".
  • Cette affaire concerne tous les transferts internationaux de données de l'UE ? Parmi les parties à la procédure, seul le commissaire irlandais à la protection des données estime que les "clauses contractuelles types" (SCC) ne sont pas valables. M. Schrems estime que (si elles sont correctement appliquées et mises en œuvre par le CPD), les clauses contractuelles types offrent une solution adéquate. Aucune autre partie à la procédure irlandaise que le DPC n'a soulevé de problème de validité.
  • Les transferts de données vers les États-Unis posent-ils tous des problèmes ? Non. Les lois de surveillance comme la FISA 702 ne s'appliquent qu'aux "fournisseurs de services de communication électronique". Le droit européen fait également la différence entre les transferts nécessaires (écoutez les dérogations) et l'"externalisation" inutile du traitement. En combinaison, le problème se pose principalement avec les fournisseurs de services et de communication dans les nuages qui relèvent des lois de surveillance (par exemple Facebook, Google, Apple, Amazon Web Services), mais pas avec tout autre secteur industriel ou les transferts de données "nécessaires" (par exemple les courriels, les réservations et autres).
  • M. Schrems plaide-t-il pour l'invalidation des CSC ? Non. M. Schrems soutient que les CSC permettent au commissaire irlandais à la protection des données de mettre fin aux transferts de données individuelles, comme celui effectué par Facebook. Comme il existe une solution évidente au problème, il n'y a pas de question de validité selon lui.
  • Le "bouclier de la vie privée" est-il sur la table ? Oui. Facebook s'est appuyé sur l'évaluation du droit américain par la Commission européenne dans le cadre du "Privacy Shield" et fait valoir que cette évaluation devrait également s'appliquer aux "Standard Contractual Clauses". M. Schrems, à son tour, a fait valoir que cette évaluation de la Commission est erronée. Le "Privacy Shield" étant fondé sur une interprétation erronée du droit américain, il devrait être invalidé
  • Serez-vous toujours en mesure d'envoyer des courriels aux États-Unis ou de réserver un vol ? Oui. L'article 49 de la GDPR prévoit des "dérogations" qui autorisent tous les transferts de données s'ils sont par exemple "nécessaires pour fournir un contrat" ou lorsque l'utilisateur a donné son consentement explicite. Par exemple, l'article 49 GDPR prévoit des "dérogations" qui autorisent tous les transferts de données s'ils sont, par exemple, "nécessaires à la conclusion d'un contrat" ou si l'utilisateur a explicitement donné son consentement : Il est nécessaire d'envoyer un courrier électronique aux États-Unis si le destinataire s'y trouve, mais il n'est pas nécessaire d'envoyer des courriers électroniques via les États-Unis si l'expéditeur et le destinataire se trouvent en Europe.
  • Quel type de transferts pourrait alors devoir être arrêté ? Fondamentalement, l'"externalisation" du traitement des données qui pourrait également être effectuée en Europe ou dans d'autres pays qui offrent des normes de protection des données adéquates.

Historique de l'affaire

L'affaire est centrée sur une plainte déposée par l'avocat spécialiste de la protection de la vie privée Max Schrems contre Facebook en 2013 (lien vers la plainte). Il y a plus de six ans, Edward Snowden a révélé que Facebook permettait aux services de renseignements américains d'accéder aux données personnelles des Européens dans le cadre de programmes de surveillance comme "PRISM" (voir Wikipedia). La plainte vise à faire cesser les transferts de données entre l'UE et les États-Unis concernant Facebook. Jusqu'à présent, le CDP irlandais n'a pris aucune mesure concrète pour y parvenir.

Premier rejet et arrêt de la CJUE sur la "sphère de sécurité

L'affaire a d'abord été rejetée par le commissaire irlandais à la protection des données (DPC) en 2013, puis a fait l'objet d'un contrôle juridictionnel en Irlande et d'un renvoi devant la Cour de justice de l'Union européenne (CJUE). La CJUE a statué en 2015 que l'accord dit "Safe Harbor" qui autorisait les transferts de données entre l'UE et les États-Unis était invalide (lien vers l'arrêt C-362/14), et que le DPC irlandais devait enquêter sur l'affaire, ce qu'il avait initialement refusé de faire.

Informations sur l'utilisation des "clauses contractuelles types"

De manière surprenante, le CDP a informé M. Schrems fin 2015 que Facebook ne s'était en fait jamais appuyé sur l'accord "Safe Harbor" désormais invalidé, mais qu'il s'était plutôt appuyé dès 2013 sur les "Standard Contractual Clauses" (un autre mécanisme de transfert de données de l'UE vers les États-Unis). La DPC n'a pas révélé ce fait et a plutôt suggéré que la "sphère de sécurité" les empêchait de poursuivre l'affaire. Ce "détour" a rendu le premier arrêt de la CJUE sans pertinence pour l'affaire.

Deuxième enquête et procès

M. Schrems a adapté sa plainte aux transferts effectués en vertu des "clauses contractuelles types" et a également exigé la fin des transferts de données à Facebook USA, en se basant sur l'argument selon lequel ils mettent les données à la disposition de la NSA. L'enquête du DPC n'a duré que quelques mois, de décembre 2015 au printemps 2016. Au lieu de se prononcer sur la plainte, le DPC a intenté une action en justice contre Facebook et M. Schrems (tous deux sont maintenant défendeurs) devant la Haute Cour irlandaise en 2016, afin de soumettre d'autres questions à la CJUE. Après plus de six semaines d'audiences se déroulant principalement en 2017, la Haute Cour irlandaise a constaté que le gouvernement américain se livrait à un "traitement de masse" des données personnelles européennes et a renvoyé onze questions à la CJUE pour une deuxième fois (lien vers l'arrêt) en 2018.

Prochaines étapes

La CJUE a inscrit l'affaire sous le numéro C-311/18 et l'entendra pour la deuxième fois le 9 juillet 2019, soit environ six ans après le dépôt de la plainte initiale. Un arrêt est attendu avant la fin de l'année. Après le jugement de la CJUE, le CPT devra finalement se prononcer sur la plainte pour la première fois. La décision pourrait à nouveau faire l'objet d'un appel par Facebook ou M. Schrems.

Principaux arguments des parties

  • Le commissaire irlandais à la protection des données se joint à M. Schrems pour dire que les lois américaines sur la surveillance violent les droits fondamentaux à la vie privée, à la protection des données et aux recours prévus par le droit européen. La DPC déclare cependant qu'elle n'a pas le pouvoir de résoudre le problème. Parce que le mécanisme de transfert de données utilisé par Facebook (Standard Contractual Clauses) ne prévoit pas une telle situation, les clauses elles-mêmes doivent être invalidées. Cela signifierait que les transferts de données vers tout pays non membre de l'UE dans le cadre de cet instrument devraient être arrêtés.
  • Facebook estime que le droit américain ne va pas au-delà de ce qui est légal en vertu du droit européen. Facebook se demande également si l'UE est compétente pour les affaires de "sécurité nationale". En résumé, Facebook ne voit aucun problème à continuer de transférer des données aux États-Unis dans le cadre de lois de surveillance de masse comme la FISA. Facebook s'appuie également sur l'évaluation du droit américain par la Commission européenne dans la décision dite "Privacy Shield", qui affirme que les lois de surveillance américaines sont conformes aux exigences de l'UE.
  • M. Schrems est d'accord avec le CPT sur le problème, mais propose une solution plus mesurée. La loi (article 4 CSC) permet au CPD d'arrêter les transferts de données individuelles (comme ceux de Facebook). M. Schrems affirme que le CPD irlandais a le devoir d'agir, au lieu de renvoyer l'affaire devant la CJUE. Concernant la confiance de Facebook dans le "bouclier de la vie privée", M. Schrems estime que la décision de la Commission européenne relative au bouclier de la vie privée ne décrit pas de manière adéquate les lois américaines en matière de surveillance, n'est même pas capable, même de loin, de fournir des protections adéquates de la vie privée et doit donc être invalidée.
  • Commission européenne : La Commission européenne est censée défendre ses deux décisions : Les clauses contractuelles types et le bouclier de protection de la vie privée. Elle se rangera probablement du côté des États-Unis et de Facebook en estimant qu'il n'y a pas de violation des droits fondamentaux aux États-Unis, mais elle reconnaîtra également que la CJUE a le pouvoir de résoudre le problème elle-même si elle constate une violation des droits fondamentaux aux États-Unis.

Déclaration de M. Schrems

Max Schrems, président du NIB : "Nous proposons une solution mesurée : Le CPT irlandais doit simplement appliquer les règles correctement, au lieu de renvoyer sans cesse l'affaire au Luxembourg. Cette affaire est en cours depuis six ans. Au cours de ces six années, le CPD n'a en fait statué que sur 2 à 3 % des affaires qui lui ont été soumises. Nous n'avons pas de problème avec les "clauses contractuelles types", nous avons un problème avec leur application"

noyb

noyb est une nouvelle organisation européenne à but non lucratif qui fait respecter le droit à la vie privée par le biais de litiges. Elle soutient cette affaire et est elle-même soutenue par plus de 3 500 membres donateurs.

Chiffres clés

Les parties devant la Cour sont le commissaire irlandais à la protection des données, Facebook Ireland Ltd, et Max Schrems. La Cour irlandaise a également autorisé quatre "amicus curiae" (assistants neutres de la Cour) à se joindre à l'affaire, à savoir le gouvernement américain, l'Electronic Privacy Information Center (epic.org) et deux organisations de lobbying de l'industrie.

Tous les États membres de l'UE, la Commission européenne, le Parlement européen et le Conseil européen de la protection des données (CEPD) ont pu présenter leurs observations.

Uploads

MakePrivacyReal

Notre travail est rendu possible grâce à plus de 3 100 membres bienfaiteurs, dont certains d'entre vous ?