Le DPC irlandais règle le contrôle juridictionnel et accepte de prendre une décision rapide
La procédure bloquée sur les flux de données UE-USA de Facebook peut se poursuivre.
Le CPD a accepté la demande de Max Schrems de mettre rapidement fin à une bataille de 7,5 ans sur les transferts de données UE-USA par Facebook et de prendre une décision sur les flux de données UE-USA de Facebook. Cette décision n'a été prise qu'après que M. Schrems ait introduit un recours judiciaire contre le CPD. L'affaire aurait été entendue par la Haute Cour irlandaise aujourd'hui.
La nouvelle procédure "de plein gré" a bloqué la plainte en cours à partir de 2013. La Commission irlandaise de protection des données (DPC) supervise les opérations européennes de Facebook. En été 2020, la Cour européenne de justice (CJUE) a statué sur une plainte de M. Schrems qui était pendante depuis 2013 et qui a été présentée à la CJUE pour la deuxième fois ("Schrems II") : Selon l'arrêt de la CJUE, le CPP doit mettre fin aux flux de données entre l'UE et les États-Unis sur Facebook en raison de lois de surveillance américaines extrêmes (comme la loi FISA 702). Au lieu d'appliquer cet arrêt, le CPP a lancé une nouvelle affaire "de sa propre volonté" et a mis en pause la procédure initiale pour une durée indéterminée. M. Schrems et Facebook ont engagé deux procédures de contrôle judiciaire contre le DPC : alors que Facebook a fait valoir en décembre que la procédure "de plein gré" ne devrait pas être poursuivie, M. Schrems a fait valoir que sa procédure de plainte devrait être entendue indépendamment de l'affaire "de plein gré".
Les murs se resserrent sur les transferts de données entre l'UE et les États-Unis par Facebook. Le CDP a maintenant réglé le deuxième contrôle judiciaire avec M. Schrems juste un jour avant que l'audience n'ait lieu, et s'est engagé à finaliser la procédure de plainte rapidement.
Dans le cadre de ce règlement, M. Schrems sera également entendu dans le cadre de la procédure "de plein gré" et aura accès à toutes les soumissions faites par Facebook, si la Cour autorise la poursuite de l'enquête "de plein gré". M. Schrems et le DPC ont également convenu que l'affaire sera traitée dans le cadre de la GDPR, et non de la loi irlandaise sur la protection des données qui était applicable avant 2018. Le DPC peut attendre le jugement de la Haute Cour dans le cadre du contrôle judiciaire de Facebook avant d'enquêter sur la plainte initiale.
Cet accord pourrait essentiellement faire de la procédure de plainte initiale, à partir de 2013, l'affaire qui déterminera en fin de compte le destin des transferts UE-USA de Facebook à la suite des divulgations de Snowden. En vertu de la GDPR, le DPC a toute latitude pour imposer des amendes allant jusqu'à 4 % du chiffre d'affaires de Facebook et des interdictions de transfert, même sur la base de ce cas individuel.
Gerard Rudden, avocat de M. Schrems :"En ce qui concerne la question de savoir si Facebook peut continuer à transférer des données aux États-Unis, le CPD a été largement d'accord avec nous devant les tribunaux et dans un récent projet de décision. Il a adopté à plusieurs reprises une position ferme selon laquelle Facebook ne peut pas continuer à transférer des données de l'UE aux États-Unis. Cependant, le DPC n'a pas rendu de décision à cet effet depuis 7 ans et demi"
Les coûts. L'affaire a déjà entraîné des coûts substantiels pour M. Schrems et son organisation à but non lucratif noyb.eu. La question des coûts a été mise en délibéré et sera tranchée par la Cour. Même lorsqu'une affaire est réglée, les dépens suivent l'événement en vertu du droit irlandais. Comme l'a largement admis le CPD, M. Schrems a l'intention de présenter une demande pour que ses frais soient pris en charge par le CPD.
Le procès a été ajourné en quelques minutes et la question des dépens sera tranchée après que la Cour aura rendu un arrêt dans le cadre du contrôle judiciaire de Facebook à partir de décembre 2020.
