Arrêt de la CJUE - Première déclaration

16 Juil 2020

La CJUE invalide le « Privacy Shield » dans l’affaire de surveillance américaine. Les CCT ne peuvent pas être utilisées par Facebook et d’autres entreprises similaires.

Facebook et les entreprises similaires ne peuvent pas non plus utiliser les « CCT » dès lors que le DPC doit stopper tout transfert sur base de cet instrument. Schrems : "Nous avons besoin d'une réforme de la surveillance américaine. La Cour a précisé que vous ne pouvez pas enfreindre la législation européenne".

Première réaction de Max Schrems (président de noyb.eu et partie à l'affaire) à l'arrêt :

Schrems : "Je suis très satisfait de ce jugement. Nos arguments ont été confirmés. C'est un coup dur pour le DPC irlandais et Facebook. Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance, si les entreprises américaines veulent continuer à jouer un rôle sur le marché européen.

La réforme de la surveillance américaine est inévitable – la Cour de justice le dit maintenant tout haut

La Cour a clairement indiqué que les lois américaines sur la surveillance sont en contradiction avec les droits fondamentaux de l'UE. Les États-Unis limitent la plupart des protections à leurs citoyens ou assimilés, mais ne protègent pas les données des clients étrangers contre la NSA. Comme il n'y a aucun moyen de savoir si vous ou votre entreprise êtes sous surveillance, les gens n'ont pas non pas la possibilité d'aller devant les tribunaux.

Schrems : "La Cour a clarifié pour la deuxième fois maintenant qu'il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance. Comme l'UE ne modifiera pas ses droits fondamentaux pour satisfaire la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de vie privée pour tous, y compris les étrangers. La réforme de la surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley.

La Commission européenne a cédé à la pression américaine

L'arrêt indique également clairement que la Commission européenne n'a pas entrepris d'évaluation approfondie et précise des lois américaines en matière de surveillance. Au lieu de cela, elle a cédé aux pressions américaines lors de l'adoption du Privacy Shield.

Herwig Hofmann, professeur de droit à l'Université du Luxembourg et l'un des avocats plaidant les affaires de Schrems devant la CJUE : "La CJUE a invalidé la deuxième décision de la Commission violant les droits fondamentaux de l'UE en matière de protection des données. Il ne peut y avoir de transfert de données vers un pays où il existe des formes de surveillance de masse. Tant que la législation américaine donnera à son gouvernement le pouvoir d'aspirer les données de personnes dans l'UE transitant vers les États-Unis, ces instruments seront invalidés à maintes reprises. L'acceptation par la Commission des lois américaines en matière de surveillance dans la décision "Privacy Shield" les a laissées sans défense".

Les autorités chargées de la protection des données ont le "devoir d'agir" - Renforcement important du RGPD

La Cour a également clarifié que les autorités de protection des données de l'UE (DPA) ont le devoir de prendre des mesures concernant les transferts de données en dehors de l'UE qui ne sont pas conformes aux principes de protection des données de l'UE. La Cour a souligné que les autorités ont « le devoir d’exercer leurs responsabilités pour assurer que le RGPD est complètement appliqué avec tout la vigilance requise ». Jusqu'à présent, certaines autorités de protection des données ont estimé qu'elles disposaient d'un pouvoir discrétionnaire illimité leur permettant de fermer les yeux sur ces transferts. La Cour a maintenant mis fin à cette pratique.

Schrems : "La Cour ne dit pas seulement au DPC irlandais de faire son travail après sept ans d'inaction, mais aussi que les DPAs ont le devoir de prendre des mesures et ne peuvent pas simplement regarder ailleurs. Il s'agit d'un changement fondamental qui va bien au-delà des transferts de données entre l'UE et les États-Unis. Les autorités comme le DPC irlandais ont jusqu'à présent sapé le succès du RGPD. La Cour a clairement dit aux autorités chargées de la protection des données d'agir et de faire appliquer la loi".

Une "solution ciblée" pour les lois de surveillance américaines

La Cour a rejoint l'avis de M. Schrems selon lequel dans un premier temps, les entreprises européennes et les destinataires non-européens des données ont le devoir de revoir la loi dans leur pays non-EU respectif. C’est seulement à la condition que cette loi ne soit pas incompatible avec le droit européen que les CCT peuvent être utilisées. Comme second niveau de protection, l’autorité de protection (DPA) compétente doit utiliser la « clause d’urgence » incluse dans les SCCs (Article 4 des CCT). Dans les cas où les lois américaines de surveillance violent les principes de protection des données de l'UE, les entreprises ne prenaient aucune action pour y remédier. Le DPC a d’ailleurs soutenu cette idée depuis 2016 en prétendant à tort qu'il avait le pouvoir discrétionnaire de ne rien faire face à la surveillance de masse par des puissances étrangères. En résumé cela veut dire que Facebook ne peut plus utiliser les SCC pour les transferts de données EU-US et s’ils continuent de violer la loi, le DPC doit prendre des mesures urgentes –contrairement à ce qui a été dit par certains dans les premières réactions après le jugement.

Schrems : "L'arrêt indique clairement que les entreprises ne peuvent plus se contenter d’utiliser les SCC, mais doivent également si les SCC peuvent être respectés en pratique. Dans les cas comme ceux de Facebook, quand elles ne prennent pas d’initiative, la DPC avait entre les mains la solution à cette affaire depuis le début. Elle pourrait théoriquement ordonner à Facebook d'arrêter les transferts demain. Dans notre plainte, nous avons exigé qu'elle adopte une interdiction avec un délai de mise en œuvre raisonnable pour permettre à Facebook de prendre toutes les mesures nécessaires. Au lieu de cela, elle s'est tournée vers la CJUE pour invalider l'ensemble du système. Cela revient à crier aux pompiers européens, parce que vous n'avez pas envie de souffler une bougie vous-même".

Les utilisateurs doivent s'unir- L'affaire entraîne des frais extrêmement élevés

Le fait que cette affaire dure depuis 7 ans et que le DPC ait investi à lui seul près de 3 millions d'euros pour lutter contre la plainte de M. Schrems au lieu de prendre des mesures décisives pour protéger les droits des européens, montre également certaines failles fondamentales dans le système d'application du RGPD. Il est actuellement impossible pour une personne normale de garantir que les droits de la RGPD ne sont pas seulement une promesse vide de sens mais qu'ils deviennent au contraire un élément normal de notre vie numérique.

Schrems : "Le DPC a investi 2,9 millions d'euros contre nous - et a essentiellement perdu. Je ne veux même pas savoir combien de millions Facebook a dépensé dans cette affaire. Les retombées financières de ce cas vont maintenant être décidées par les tribunaux irlandais".

Les transferts de données « nécessaires » vers les Etats-Unis peuvent continuer

En dépit des invalidations prononcées par le jugement, les transferts de données absolument nécessaires peuvent continuer sur base de l’Article 49 du RGPD. Toute situation où les utilisateurs veulent que leurs données soient transférées à l’étranger est encore légale, puisque que cela peut avoir lieu sur base d’un consentement informé de l’utilisateur, qui peut être retiré à tout moment. De même, le RGPD permet les transferts de données lorsque cela est nécessaire pour l’exécution d’un contrat. C’est une base juridique solide pour la plupart des transactions aux Etats-Unis. En quelques mots : les Etats-Unis ont été ramenés à la situation « normale » dans laquelle se trouve l’EU avec la plupart des Etats tiers, mais a perdu son accès spécial au marché de l’UE en raison des lois américaines de surveillance.

Schrems : « La Cour a souligné explicitement que l’invalidation du Privacy Shield ne créera pas de « vide juridique » puisque les transferts cruciaux peuvent encore avoir lieu. Les Etats-Unis sont simplement replacés dans la situation d’un pays comme un autre, sans régime spécial d’accès aux données européennes ».

v1