La CJUE entend une affaire sur les transferts de données entre l'UE et les États-Unis (clauses contractuelles types et bouclier de protection de la vie privée)

17 Sep 2019

En raison d'un certain nombre de demandes, nous avons résumé les faits essentiels de l'affaire portée devant la Cour de justice de l'Union européenne (CJUE) concernant les transferts de données entre l'UE et les États-Unis et la surveillance massive par le gouvernement américain. L'affaire sera entendue demain (9h00, mardi 9 juillet) devant la Grande Chambre de la Cour de justice

Compréhensions courantes du cas

>
      Ce cas concerne-t-il allles transferts de données UE-US ? Non, il ne s'agit que de transferts vers les Etats-Unis qui font l'objet d'une "surveillance de masse". Dans la plupart des cas, il existe des moyens simples d'éviter la surveillance de masse et de nombreux secteurs industriels (par exemple les banques, les compagnies aériennes, le commerce et les banques) ne relèvent pas d'une telle loi. La plainte de M. Schrems ne vise que Facebook, qui est désigné dans le document Snowden comme aidant la NSA pour la surveillance de masse sous "PRISM".
    Il s'agit ici de all transferts internationaux de données de l'UE ?
    Are alltransferts de données vers la problématique américaine ?
    M. Schrems plaide-t-il en faveur de l'invalidation des CSC ?
  • Is "Privacy Shield" on the table ? Oui. Facebook s'est appuyé sur l'évaluation de la Commission européenne du droit américain dans le "bouclier de la vie privée" et fait valoir que cette évaluation devrait également s'appliquer aux "clauses contractuelles types". M. Schrems a quant à lui fait valoir que cette évaluation de la Commission est erronée. Comme le bouclier de protection de la vie privée est basé sur une fausse interprétation de la loi américaine, il doit être invalidé.
    Pouvez-vous toujours envoyer des courriels aux États-Unis ou réserver un vol ? Oui. L'article 49 du RDPPB prévoit des "dérogations" qui autorisent tous les transferts de données s'ils sont par exemple "nécessaires à la conclusion d'un contrat" ou si l'utilisateur y a expressément consenti. Par exemple : Il est nécessaire d'envoyer un e-mail aux États-Unis si le destinataire est présent, mais il n'est pas nécessaire d'envoyer des e-mails via les États-Unis si l'expéditeur et le destinataire sont en Europe
    Quel type de transferts doit-on arrêter à ce moment-là ? Fondamentalement "externalisation" du traitement des données qui pourrait également se faire en Europe ou dans d'autres pays qui fournissent des normes appropriées de protection des données.
Historique des cas >Historique des cas lien vers la plainte). Il y a plus de six ans, Edward Snowden a révélé que Facebook permet aux services de renseignements américains d'accéder aux données personnelles des Européens sous surveillance dans le cadre de programmes comme "PRISM" (voir Wikipedia). La plainte vise à faire cesser les transferts de données de Facebook entre l'UE et les États-Unis. Jusqu'à présent, le CPD irlandais n'a pris aucune mesure concrète à cet effet

Premier rejet et jugement du CJUE sur la sphère de sécurité

L'affaire a d'abord été rejetée par le Commissaire irlandais à la protection des données (DPC) en 2013, puis soumise à un contrôle juridictionnel en Irlande et à un renvoi devant la Cour de justice de l'Union européenne (CJUE). En 2015, la CJUE a décidé que l'accord dit "Safe Harbor" qui autorisait les transferts de données entre l'UE et les États-Unis était invalide (lien au jugement en C-362/14), et que le CPD irlandais a dû enquêter, comme il a refusé de le faire

Informations sur l'utilisation des "clauses contractuelles types"

Informations sur l'utilisation des "clauses contractuelles types

Étonnamment, le CPD a informé M. Schrems à la fin de 2015 que Facebook ne s'était en fait jamais appuyé sur l'accord "Safe Harbor" désormais invalidé, mais sur les "Standard Contractual Clauses" (autre mécanisme de transfert de données de l'UE aux États-Unis) dès 2013. Le DPC avait omis de divulguer ce fait et avait plutôt laissé entendre que Safe Harbor les empêchait de poursuivre l'affaire. Ce "détour" a rendu le premier arrêt de la CJUE hors de propos en l'espèce

Seconde enquête et poursuite

/p>

> Enquête et poursuite

M. Schrems a adapté sa plainte aux transferts effectués au titre des "Standard Contractual Clauses" et a également exigé la fin des transferts de données vers Facebook USA, au motif qu'ils mettent les données à disposition de la NSA. L'enquête du CPD n'a duré que quelques mois, de décembre 2015 au printemps 2016. Au lieu de statuer sur la plainte, le DPC a intenté une action en justice contre Facebook et M. Schrems (tous deux sont maintenant défendeurs) devant la Haute Cour irlandaise en 2016, afin de renvoyer d'autres questions à la CJUE. Après plus de six semaines d'audiences qui se sont déroulées principalement en 2017, la Haute Cour irlandaise a conclu que le gouvernement américain s'engageait dans un "traitement de masse" des données personnelles européennes et a renvoyé onze questions à la CJUE pour la deuxième fois (lien au jugement) en 2018.

>

Pas suivants

> Etapes suivantes

Le CJUE a inscrit l'affaire sous C-311/18 et l'entend pour une deuxième fois le 9 juillet 2019 - environ six ans depuis la plainte originale déposée. Un jugement est attendu avant la fin de l'année. Après le jugement de la CJUE, le CPC devrait finalement statuer sur la plainte pour la première fois. La décision pourrait de nouveau faire l'objet d'appels par Facebook ou M. Schrems.

> Arguments de base des parties

Core Arguments by the Parties

>
      The Irish Data Protection Commissioner Data Protection Commissioner rejoint M. Schrems dans son opinion que les lois américaines de surveillance violent les droits fondamentaux à la vie privée, à la protection des données et à la réparation en droit européen. Le CPD affirme toutefois qu'elle n'a pas le pouvoir de résoudre le problème. Étant donné que le mécanisme de transfert de données utilisé par Facebook (clauses contractuelles types) ne prévoit pas une telle situation, les clauses elles-mêmes doivent être invalidées. Cela signifierait que les transferts de données vers tout pays non membre de l'UE au titre de cet instrument devraient être interrompus
    • Facebook estime que la législation américaine ne va pas au-delà de ce qui est légal en vertu du droit communautaire. Facebook se demande également si l'UE a compétence en matière de "sécurité nationale". En résumé, Facebook ne voit aucun problème à continuer à transférer des données aux États-Unis en vertu de lois de surveillance de masse comme la FISA. Facebook s'appuie également sur l'évaluation faite par la Commission européenne de la législation américaine dans la décision dite "Privacy Shield", qui indique que les lois américaines en matière de surveillance sont conformes aux exigences de l'UE.
    • Schrems est d'accord avec le DPC sur le problème, mais propose une solution plus mesurée. La loi (article 4 CSP) permet au CPD d'arrêter les transferts de données individuelles (comme ceux de Facebook). M. Schrems dit que le DPC irlandais a le devoir d'agir, au lieu de renvoyer l'affaire devant la CJUE. En ce qui concerne l'utilisation du "bouclier de protection de la vie privée" par Facebook, M. Schrems est d'avis que la décision de la Commission européenne relative au bouclier de protection de la vie privée ne décrit pas adéquatement les lois américaines en matière de surveillance, ne peut même pas à distance fournir une protection adéquate de la vie privée, et doit donc être invalidée.
    • Commission européenne : La Commission européenne est censée défendre ses deux décisions : Les clauses contractuelles types et le bouclier de protection de la vie privée. Elle se rangera probablement du côté des États-Unis et de Facebook sur l'idée qu'il n'y a pas de violation des droits fondamentaux aux États-Unis, mais reconnaîtra également que le CPC a le pouvoir de résoudre le problème lui-même si le CJUE constate une violation des droits fondamentaux aux États-Unis
Déclaration de M. Schrems> Déclaration de M. Schrems

Max Schrems, président de noyb : "Nous proposons une solution mesurée : Le CPD irlandais doit simplement appliquer les règles correctement, au lieu de renvoyer l'affaire au Luxembourg à maintes reprises. Cette affaire est pendante depuis six ans. Au cours de ces six années, le CPD n'a rendu une décision que dans 2 à 3 % des cas qui lui ont été soumis. Nous n'avons pas de problème avec les "clauses contractuelles standard", nous avons un problème d'exécution."

> noyb >> noybnoyb est un nouvel organisme européen à but non lucratif qui fait respecter le droit à la vie privée par la voie judiciaire. Elle soutient cette cause et est elle-même soutenue par plus de 3.500 membres donateurs

chiffres clés

>>chiffres clés > >

Devenir membre

Notre travail est rendu possible grâce à plus de 3.100 membres de soutien - n'importe quel peut-être vous?