Lecture du 4ème Avent : Facebook ignore totalement les arrêts "Schrems" de la Cour de justice

19 Déc 2021

4e lecture de l'Avent : L'"évaluation de l'impact du transfert" de Facebook ignore totalement les arrêts de la Cour de justice

Dans la dernière " lecture de l'Avent " en protestation contre le retrait de noyb d'une procédure par le CPD irlandais, nous discuterons de la mise au rebut par Facebook des arrêts de la Cour de justice de l'Union européenne (CJUE) sur les transferts de données entre l'UE et les États-Unis, dans une " évaluation d'impact sur les transferts " de 86 pages prétendument " confidentielle ". Depuis 2013, la question de la coopération de Facebook avec les agences gouvernementales américaines en matière de surveillance de masse est pendante devant la Commission irlandaise de protection des données ("DPC"). Une première décision de la DPC irlandaise n'est même pas en vue - 8,5 ans après la plainte initiale et 1,5 an après la deuxième clarification de la CJUE. Schrems :"Facebook ignore totalement la Cour de justice, malgré deux arrêts explicites"

"TIA" : L'ignorance de la CJUE par Facebook en trois étapes. Après les arrêts clairs dans "Schrems I" et "Schrems II", Facebook aurait dû arrêter immédiatement les transferts de données de l'UE vers les États-Unis, car ils ont été déclarés illégaux à deux reprises. Aujourd'hui (1,5 an plus tard), Facebook n'a pris aucune mesure pour limiter ses transferts de données. Au lieu de cela, il a produit une "évaluation d'impact du transfert" ("TIA") de 86 pages en vertu de la clause 14 des clauses contractuelles types ("SCC") nouvellement introduites, arrivant au résultat surprenant que l'arrêt de la CJUE ne s'appliquerait pas à Facebook et que les transferts pourraient se poursuivre tels quels. Selon les documents que nous avons reçus, absolument aucune mesure nouvelle ou pertinente n'a été prise par Facebook à la suite de l'arrêt de la CJUE du 16.6.2020.

Max Schrems, président de noyb.eu :"Cela fait maintenant 8,5 ans que Facebook ignore le droit européen. Les documents récemment publiés montrent qu'ils considèrent simplement que la Cour de justice a tort - et que Facebook a raison. C'est une ignorance incroyable de l'état de droit, soutenue par l'absence de mesures d'application de la part de la DPC irlandaise. Il n'est pas étonnant que Facebook veuille garder ce document confidentiel. Cependant, il montre également que Facebook n'a aucune défense légale sérieuse lorsqu'il continue à envoyer les données des Européens aux États-Unis."

Quatre documents. noyb rend transparent le contenu des quatre documents pertinents. Le "Document de synthèse" précise que Facebook prend trois mesures pour arriver à la conclusion qu'il peut continuer à transférer des données vers les États-Unis, malgré deux arrêts de la CJUE : Tout d'abord, il contredit directement deux arrêts de la Cour de justice, selon lesquels les lois de surveillance américaines violent les droits fondamentaux de l'UE. Au lieu de cela, l'"évaluation de l'équivalence" de Facebook considère que les lois européennes et américaines sont en fait équivalentes. Deuxièmement, l'"évaluation des facteurs" de Facebook indique que le risque pour les utilisateurs est minime - là encore en contradiction directe avec la Cour de justice. Dans un troisième temps, le "Record of Safeguards" de Facebook mentionne diverses mesures en place qui contrebalanceraient toute violation du droit européen. En fait, aucune de ces mesures n'est réellement pertinente pour la surveillance FISA de la section 702. Il s'agit d'une liste des normes minimales de sécurité de l'industrie (en vertu de l'article 32 du GDPR) qui sont en place indépendamment des lois de surveillance américaines.

Alors que les volumineuses 86 pages tentent de donner l'impression d'une analyse sophistiquée, l'élément central de l'évaluation de Facebook est résumé dans la conclusion de l'EIT de Facebook :

En d'autres termes : Facebook affirme simplement que le droit américain est "équivalent" au droit européen, malgré deux décisions de la Cour de justice allant dans le sens contraire.

Plongée en profondeur :noyb a réalisé quatre vidéos lisant des résumés des quatre documents dans le cadre d'une "plongée en profondeur" dans ces documents, qui explique également le contenu de ces documents de manière plus détaillée. Cliquez ici pour la plongée en profondeur. Étant donné le risque que Facebook et le DPC irlandais utilisent des procès frivoles pour exercer des représailles contre noyb via une "SLAPP suit", nous avons décidé de lire et de décrire les documents en détail, ce qui permettra à chacun de bien comprendre les documents, tout en minimisant le risque de procès frivoles par Facebook ou le DPC.

Aucune décision du CPD irlandais malgré l'obligation légale. La plainte sous-jacente est pendante depuis 2013 et a fait l'objet de cinq procédures irlandaises et de deux procédures devant la Cour de justice, pour un coût supérieur à 10 millions d'euros. Vous pouvez trouver un aperçu de l'affaire dans le graphique ci-dessous. En 2020, la CJUE a de nouveau affirmé explicitement que le CPD "est tenu de suspendre ou d'interdire un transfert de données" (paragraphe 121). De même, dans le dernier accord entre le CPH et M. Schrems, une décision rapide a été promise pour le 12.1.2021. Huit ans et demi après la plainte initiale, il n'y a toujours pas de décision en vue - bien que le CPD se soit à plusieurs reprises "félicité" de la clarification apportée par chaque perte devant les tribunaux. Même lorsqu'une première décision du CPD serait rendue, elle ferait l'objet de multiples niveaux d'appel en Irlande. Quoi qu'il en soit, les documents montrent que Facebook n'a en fait aucune base juridique crédible pour transférer les données des Européens vers les États-Unis - au risque de se voir infliger des amendes massives et de devoir réorganiser l'ensemble de ses activités.

Facebook abuse de la mise à jour de la CSC de la Commission européenne ? La base de l'"évaluation de l'impact du transfert" de Facebook est la clause 14 des nouvelles "clauses contractuelles types" adoptées par la Commission européenne. Ce nouvel ensemble de règles est devenu applicable car le CPD n'a pas pris de décision sur l'affaire dans un délai raisonnable. Jusqu'à aujourd'hui, Facebook est constamment passé d'un motif légal de transfert de données à un autre (d'abord "Safe Harbor", puis "Privacy Shield" et les anciennes CSC et maintenant les nouvelles CSC). En plus de ces multiples motifs de transfert, Facebook a aussi récemment soulevé la " nécessité contractuelle " et le " consentement " pour tous les transferts de données en vertu de l'article 49(1) du GDPR. Jusqu'à présent, il ne semble pas que le CPD ait examiné ces nouveaux arguments.

Schrems :"Le CPD irlandais est extrêmement lent et ne maîtrise pas ces procédures. Facebook passe constamment à un autre argument, alors que le DPC ne s'est même pas prononcé sur la décision de 2013. C'est Facebook qui domine cette procédure - au lieu du DPC."

Possibilité d'une "poursuite-bâillon" par le CPH et Facebook. Compte tenu des nombreuses menaces malgré une base juridique claire pour ces publications, noyb s'attend maintenant à des "poursuites-bâillons" sans fondement (voir un excellent résumé de John Oliver, malheureusement uniquement sur YouTube) par le CPH et/ou Facebook Ireland Limited. Il n'est pas improbable que Facebook ou le DPC essaient de porter une affaire en Irlande ou au Royaume-Uni, car ces systèmes juridiques sont extrêmement coûteux et constituent des juridictions parfaites pour ruiner une ONG. Nous avons donc géobloqué les documents pertinents dans ces juridictions.