Préparation - Contexte de l'avis du GC de demain

14 Jan 2020

En vue de la présentation de l'avis consultatif non contraignant de l'avocat général le 19 décembre vers 9h45 à Luxembourg, nous avons établi le document préparatoire suivant. L'affaire est en suspens depuis 6,5 ans, elle porte sur des lois complexes de l'UE en matière de protection de la vie privée et de surveillance américaine et a fait l'objet de quatre audiences devant différentes juridictions. Il est donc très complexe.

Téléchargez le document de préparation ici (PDF)

I. Contexte de l'affaire

Surveillance américaine. Comme l'ont confirmé les révélations d'Edward Snowden, de nombreuses grandes entreprises américaines d'Internet (en l'occurrence Facebook) sont tenues de permettre au gouvernement américain d'accéder à grande échelle aux données des utilisateurs européens à des fins de " renseignement étranger " (y compris la lutte contre le terrorisme et l'espionnage). Une telle utilisation des données des Européens pourrait bien aller à l'encontre de l'intérêt national de l'UE et de ses États membres (par exemple lors de l'application de sanctions américaines contre des entreprises de l'UE ou lors de l'espionnage des citoyens et des gouvernements de l'UE).


L'affaire "Safe Harbor" de 2015. Sur la base de ces faits, M. Schrems a déposé une plainte contre Facebook auprès du Commissaire irlandais à la protection des données (" DPC ") en 2013. Le DPC a d'abord rejeté la plainte comme étant " frivole et vexatoire ". M. Schrems a fait appel contre le DPC et a finalement gagné : Dans ce cas, C-362/14 SchremsDans un arrêt rendu en 2003, la CJUE (" Cour de justice de l'Union européenne ", la cour suprême de l'UE) a confirmé son point de vue et a statué que la surveillance de masse violait les droits fondamentaux européens. La CJUE a annulé l'ancien système de la "sphère de sécurité" qui facilitait les transferts de données entre l'UE et les États-Unis. Ce système a été remplacé d'urgence par le système " Privacy Shield " en 2016. Schrems : "Privacy Shield est une version mise à jour de la "sphère de sécurité" illégale. Rien dans la loi de surveillance américaine n'a été changé ou corrigé."


Clauses contractuelles normalisées (" CCN "). Après la première décision de la CJEU sur la " sphère de sécurité ", Facebook a affirmé qu'il n'utiliserait pas le " bouclier de protection de la vie privée ", mais le soi-disant " bouclier de protection de la vie privée "Clauses contractuelles types” (CCS).

Les SCC sont un contrat entre une entreprise de l'UE (ici Facebook Ireland) et une entreprise non européenne (ici Facebook Inc, en Californie) dans lequel l'entreprise étrangère s'engage à respecter la vie privée des Européens. La loi admet que ces contrats protègent suffisamment les données européennes lorsqu'elles sont transférées à l'étranger.


Problème principal : la législation européenne sur la protection de la vie privée est en contradiction avec la législation américaine sur la surveillance. En vertu des lois européennes sur la protection de la vie privée ("GDPR") et des CSC, une "exportation de données" vers un pays tiers n'est légale que si l'entreprise exportatrice (dans ce cas, Facebook Ireland Ltd) peut assurer une "protection adéquate" aux États-Unis. Dans la pratique, cela s'est avéré impossible, car les lois américaines sur la surveillance (telles que FISA 702 et EO 12.333) entraînent le " traitement de masse " du gouvernement américain[1] de données personnelles à des fins de surveillance. Schrems : " En termes simples : La législation européenne exige le respect de la vie privée, tandis que la législation américaine exige une surveillance de masse. La question est de savoir ce qui se passe lorsqu'une entreprise européenne suit la législation américaine plutôt que la législation européenne


Demande de M. Schrems & Réaction par le CPD irlandais. Compte tenu de la situation ci-dessus et de l'arrêt de la CJUE dans l'affaire de la " sphère de sécurité ", M. Schrems a donc demandé au CPD irlandais en 2015 d'utiliser l'article 4 des CSC, qui permet au CPD d'ordonner à Facebook de " suspendre " les transferts de données dans des cas individuels. Bien que le CPPD soit maintenant d'accord avec M. Schrems sur le fait que les lois de surveillance américaines violent le droit communautaire, il n'a pas pris de mesures directes. Schrems : " Nous avons demandé une solution ciblée, uniquement pour les entreprises qui tombent sous le coup de ces lois de surveillance. Le DPC aurait pu rendre une telle décision dans un délai d'un jour."


Le DPC irlandais veut invalider les CSC. Le DPC n'a cependant pas suivi la demande de M. Schrems, mais a plutôt intenté un procès contre Facebook et M. Schrems devant la Haute Cour irlandaise, dans le but de renvoyer l'affaire devant la CJUE - cette fois-ci sur la validité des CSC. La Haute Cour irlandaise a accédé à la demande du DPC et a renvoyé onze questions à la CJUE, malgré la résistance de M. Schrems et de Facebook (qui se sont tous deux opposés au renvoi pour des raisons différentes). Gerard Rudden (de ARQ Solicitors, représentant M. Schrems) : " Mon client a demandé une solution ciblée pour les entreprises qui tombent sous le coup des lois américaines sur la surveillance de masse. Le DPC aurait pu rendre une telle décision il y a longtemps. Au lieu de cela, après sept ans et deux renvois à la CJEU, nous n'avons toujours pas de décision officielle du DPC.


noyb.eu & Legal Team M. Schrems a introduit cette affaire à titre bénévole et est soutenu par une équipe d'avocats d'Irlande, des États-Unis et du Luxembourg. L'affaire est également soutenue par l'organisation européenne à but non lucratif noyb.eudont il est aussi le président d'honneur. M. Schrems est représenté par Eoin McCullhan, mandaté par Ahern Rudden Quigley Solicitors. Le professeur Herwig Hofmann a soutenu la cause sur les questions de droit européen. Ashley Gorski, de l'Union américaine des libertés civiles (ACLU.org) a assisté en tant que témoin expert sur la législation américaine en matière de surveillance.