Le DPC est-il en train d'arrêter les transferts de données entre l'UE et les États-Unis ? ... peut-être à mi-chemin !

This page has been translated automatically. Read the original or leave us a message if something is not right.
Data Transfers
 /  09 September 2020
Rope

Le DPC est-il en train d'arrêter les transferts de données entre l'UE et les États-Unis ? ... peut-être à mi-chemin !

La WSJ a rapporté mercredi soir que la Commission irlandaise de protection des données ("DPC") aurait émis une "ordonnance préliminaire" pour que Facebook arrête les transferts de données entre l'UE et les États-Unis. En début de semaine, nous avons informé la DPC que nous prévoyons de déposer une injonction interlocutoire concernant sa décision d'ouvrir une "seconde" enquête sur cette affaire, car cela violerait une ordonnance judiciaire de 2015

Dans le même temps, Facebook semble avoir (une fois de plus) modifié la base juridique sur laquelle il s'appuie pour les transferts de données entre l'UE et les États-Unis à la suite de l'arrêt rendu par la CJUE sur le "Privacy Shield" et l'utilisation de clauses contractuelles types ("SCC"). Facebook invoque maintenant un prétendu "besoin" de sous-traiter des opérations de traitement de données aux États-Unis en vertu de l'accord d'utilisation et de l'article 49(1)(b) du GDPR. À notre connaissance, cette nouvelle base juridique ne relève pas du champ d'application de l'"ordonnance préliminaire" du DPC.

noub publie actuellement trois lettres qui pourraient permettre aux membres du public de mieux comprendre les activités de Facebook et du DPC.

DPC a ouvert un dossier "parallèle" à une plainte en cours depuis 7 ans sur l'utilisation des CSC en vertu de l'article 46(1) GDPR uniquement

Nous avons eu un certain nombre d'échanges avec le DPC dans lesquels nous avons demandé une mise en œuvre rapide de l'arrêt de la CJUE sur les transferts de données entre l'UE et les États-Unis. La CPD n'a pas indiqué qu'elle prendrait une telle mesure rapide. Le 31 août 2020, la CPD nous a informés par lettre (PDF) qu'elle allait ouvrir un deuxième dossier (indépendant de la procédure de plainte qui a conduit à l'arrêt de la CJUE) pour enquêter sur le recours par Facbeook aux clauses contractuelles types (CC). Dans le même temps, le DPC a décidé d'interrompre la procédure de plainte en cours initiée par M. Schrems il y a sept ans, bien qu'il se soit engagé auprès de la Haute Cour irlandaise à partir de 2015 à statuer rapidement sur l'affaire. Le DPC a souligné que cette deuxième enquête est strictement limitée à l'utilisation de la SCC par Facebook en vertu de l'article 46(1) GDPR.

Max Schrems, président honoraire de noyb.eu : "Nous saluons évidemment l'idée que le CDP irlandais se rapproche enfin de son objectif après sept ans de procédures et cinq décisions de justice, qui ont toutes confirmé notre position. Cependant, cette décision du DPC pourrait bien conduire à une autre décision timide après tout"

Facebook invoque désormais une base juridique "parallèle" au titre de l'article 49 du GDPR qui n'est pas soumise à l'enquête limitée du DPC

Ce cas limité du DPC est particulièrement intéressant, car Facebook a indiqué dans une lettre du 19 août 2020 (PDF, page 3) que (après la fin de la Safe Harbor, du Privacy Shield et des CSC) il s'appuie désormais sur une quatrième base juridique pour les transferts de données : la prétendue "nécessité" d'externaliser le traitement aux États-Unis dans le cadre du contrat avec ses utilisateurs (voir article 49(1)(b) du GDPR). Cela signifie que toute "ordonnance préliminaire" ou "deuxième enquête" du CPD sur les seuls CSC n'empêchera en fait pas Facebook de faire valoir que ses transferts de données entre l'UE et les États-Unis continuent d'être légaux. En pratique, l'article 49(1)(b) GDPR peut constituer une base juridique appropriée pour des transferts de données très limités (par exemple lorsqu'un utilisateur de l'UE envoie un message à un utilisateur américain), mais ne peut être utilisé pour externaliser tout le traitement des données aux États-Unis.

Max Schrems : "Le DPC n'enquête à nouveau que sur une partie du problème - comme il l'a déjà fait deux fois dans les enquêtes sur la sphère de sécurité et les CSC. Facebook semble vouloir que le CPD se concentre également sur les CSC, afin de pouvoir retirer la prochaine base juridique à la fin de la procédure. Cette édition juridique de "whac-a-mole" est en cours depuis sept ans maintenant. Je soupçonne donc que la prétendue ordonnance préliminaire contre Facebook est une autre mesure inutile qui ne résoudra pas complètement le problème. "

le NNOB prévoit une injonction interlocutoire pour mettre fin à la mauvaise gestion du DPC

En réponse à cette situation, le Solicitor représentant M. Schrems a envoyé une lettre au DPC lundi de cette semaine (PDF), soulignant que Facebook utilise également l'article 49 et que le DPC est clairement en violation d'une décision de justice en mettant (une fois de plus) en pause la procédure de plainte à partir de 2013, juste pour ouvrir une deuxième enquête inutile sur une question secondaire de la plainte initiale. Selon la loi irlandaise, le DPC est susceptible de faire l'objet d'un "outrage au tribunal" - une question très grave qui peut entraîner de graves conséquences pour le chef du DPC.

noyb a informé le DPC que nous prévoyons de déposer une injonction interlocutoire afin de garantir que le DPC prenne des mesures sur toutes les bases juridiques présumées utilisées pour les transferts de données par Facebook (les CSC en vertu de l'article 46 et le "contrat" présumé en vertu de l'article 49 GDPR) et de le faire dans le cadre de la procédure de plainte en cours, comme prévu par la loi.

Schrems : "La fuite concernant une "ordonnance préliminaire" secrète contre Facebook montre que le DPC essayait de mener une procédure secrète sans le plaignant. Alors qu'une telle ordonnance aurait dû être émise en 2013, nous sommes très préoccupés par le fait que le DPC ne s'engage à nouveau que dans une enquête limitée qui ne permettra pas de déterminer pleinement tous les aspects de l'affaire. Nous prendrons donc les mesures juridiques appropriées en Irlande pour garantir que les droits des utilisateurs soient pleinement respectés - quelle que soit la base juridique invoquée par Facebook. Après sept ans, toutes les cartes doivent être mises sur la table"

On ne sait pas très bien comment la fuite sur l'"ordonnance préliminaire" se rapporte à ce contexte de l'affaire. Le DPC a accepté dans la nuit de mercredi à vendredi de revenir sur l'éventuelle injonction interlocutoire d'ici le vendredi 11 septembre 2020. Les avocats de M. Schrems demanderont au CPD tous les documents qui ont été mentionnés dans la WSJ, à l'exclusion du CPD.