En vue de la présentation de l'avis consultatif non contraignant de l'avocat général le 19 décembre vers 9h45 à Luxembourg, nous avons établi le document préparatoire suivant. L'affaire est pendante depuis 6,5 ans, elle traite de lois européennes complexes en matière de protection de la vie privée et de surveillance américaine et a fait l'objet de quatre audiences devant différentes juridictions. Elle est donc très complexe.
I. Contexte de l'affaire
Surveillance américaine. Comme l'ont confirmé les révélations d'Edward Snowden, de nombreuses grandes entreprises américaines du secteur de l'internet (en l'occurrence Facebook) sont tenues d'autoriser le gouvernement américain à accéder en masse aux données des utilisateurs européens à des fins de "renseignement étranger" (notamment la lutte contre le terrorisme et l'espionnage). Une telle utilisation des données des Européens pourrait bien être contraire à l'intérêt national de l'UE et de ses États membres (par exemple lors de l'application de sanctions américaines contre des entreprises européennes ou lors de l'espionnage des citoyens et des gouvernements de l'UE).
L'affaire "Safe Harbor" de 2015. Sur la base de ces faits, M. Schrems a déposé une plainte contre Facebook auprès du commissaire irlandais à la protection des données ("DPC") en 2013. Le DPC a d'abord rejeté la plainte comme étant "frivole et vexatoire". M. Schrems a fait appel contre le DPC et a finalement gagné : Dans cette affaire, C-362/14 SchremsLa Cour de justice de l'Union européenne (CJUE, la Cour suprême de l'UE) a confirmé son point de vue et a statué que la surveillance de masse violait les droits fondamentaux européens. La CJUE a annulé le précédent système de "sphère de sécurité" qui facilitait les transferts de données entre l'UE et les États-Unis. Ce système a été remplacé d'urgence par le système "Privacy Shield" en 2016. Schrems : "Privacy Shield est une version mise à jour de la "sphère de sécurité" illégale. Rien dans la loi américaine sur la surveillance n'a été modifié ou corrigé"
Clauses contractuelles types ("CCU"). Après la première décision de la CJUE sur la "sphère de sécurité", Facebook a déclaré qu'il n'utiliserait pas de "bouclier de protection de la vie privée" mais des "clauses contractuelles types"Clauses contractuelles types” (CSC).
Les CSC sont un contrat entre une entreprise de l'UE (ici Facebook Ireland) et une entreprise non européenne (ici Facebook Inc, en Californie) dans lequel l'entreprise étrangère s'engage à respecter la vie privée des Européens. La loi reconnaît que ces contrats protègent suffisamment les données européennes lorsqu'elles sont transférées à l'étranger.
Problème principal : la législation européenne sur la protection de la vie privée est en contradiction avec la législation américaine sur la surveillance. Selon la législation européenne sur la protection de la vie privée ("GDPR") et les CSC, une "exportation de données" vers un pays tiers n'est légale que si l'entreprise exportatrice (dans ce cas, Facebook Ireland Ltd) peut assurer une "protection adéquate" aux États-Unis. Dans la pratique, cela s'est avéré impossible, car les lois américaines sur la surveillance (telles que la FISA 702 et l'EO 12.333) entraînent un "traitement de masse" de la part du gouvernement américain de données personnelles à des fins de surveillance. Schrems : "En termes simples : La législation européenne exige le respect de la vie privée, tandis que la législation américaine exige une surveillance de masse. La question est de savoir ce qui se passe lorsqu'une entreprise européenne suit la législation américaine plutôt que la législation européenne ”
Demande de M. Schrems & Réaction du DPC irlandais. Compte tenu de la situation ci-dessus et de l'arrêt de la CJUE dans l'affaire de la "sphère de sécurité", M. Schrems a donc demandé au CPD irlandais en 2015 d'utiliser l'article 4 des CSC, qui permet au CPD d'ordonner à Facebook de "suspendre" les transferts de données dans des cas individuels. Bien que le CPD soit maintenant d'accord avec M. Schrems pour dire que les lois de surveillance américaines violent le droit européen, il n'a pas pris de mesures directes. M. Schrems : "Nous avons demandé une solution ciblée, uniquement pour les entreprises qui tombent sous le coup de ces lois de surveillance. Le DPC aurait pu prendre une telle décision dans un délai d'un jour"
Le DPC irlandais veut invalider les CSC. Le CPD n'a cependant pas suivi la demande de M. Schrems, mais a plutôt intenté un procès contre Facebook et M. Schrems devant la Haute Cour irlandaise, dans le but de renvoyer l'affaire devant la CJUE - cette fois-ci sur la validité des CSC. La Haute Cour irlandaise a accédé à la demande du CPD et a renvoyé onze questions à la CJUE, malgré la résistance de M. Schrems et de Facebook (qui se sont tous deux opposés au renvoi pour des raisons différentes). Gerard Rudden (de ARQ Solicitors, représentant M. Schrems) : "Mon client a demandé une solution ciblée pour les entreprises qui tombent sous le coup des lois américaines de surveillance de masse. Le DPC aurait pu prendre une telle décision il y a longtemps. Au lieu de cela, après 7 ans et deux renvois devant la CJUE, nous n'avons toujours pas de décision formelle de la DPC. ”
noyb.eu M. Schrems a porté cette affaire devant les tribunaux à titre bénévole et est assisté par une équipe d'avocats d'Irlande, des États-Unis et du Luxembourg. L'affaire est également soutenue par l'organisation européenne à but non lucratif noyb.eudont il est également le président d'honneur. M. Schrems est représenté par Eoin McCullhan, mandaté par Ahern Rudden Quigley Solicitors. Le professeur Herwig Hofmann a soutenu la cause sur les questions de droit européen. Ashley Gorski, de l'Union américaine des libertés civiles (ACLU.org) a assisté en tant que témoin expert sur la législation américaine en matière de surveillance.
II. Résultats possibles
Il est très probable qu'il y ait une différence entre l'avis du Groupe consultatif et le jugement final. L'affaire a soulevé onze questions partiellement interconnectées avec de nombreux autres problèmes qui viennent avec chaque question. Contrairement à de nombreux autres cas, il n'y a pas de réponse binaire à attendre. L'avis et le jugement final peuvent tous deux approfondir certaines questions et rester silencieux sur d'autres points. Schrems : "Cette affaire comporte onze questions interconnectées. Il est très peu probable que nous obtenions une seule réponse claire par "oui ou non" de l'avocat général. Compte tenu des nombreuses options, il est encore moins probable que les juges aborderont ces onze questions de la même manière dans leur jugement final"
En plus des nombreuses options différentes dans cette affaire, l'audience orale de l'affaire aurait pu être un indicateur de points de vue quelque peu différents entre AG et les juges. Schrems : "Au cours de l'audience, l'avocat général a posé des questions dans une direction très différente de celle des juges. Les juges semblaient beaucoup plus critiques que l'avocat général à l'égard du droit américain et de l'appréciation de la Commission européenne. Je m'attends donc à ce que l'arrêt final offre des protections de la vie privée plus strictes que l'avis de jeudi"
Une solution à long terme est nécessaire. À long terme, le conflit fondamental entre les lois européennes sur la protection de la vie privée et les lois américaines sur la surveillance ne sera très probablement pas résolu dans ce cas. Schrems : "Si les États-Unis veulent traiter les données d'étrangers, ils devront donner aux étrangers au moins les mêmes protections de base de la vie privée. Actuellement, les États-Unis se comportent un peu comme si la Suisse leur disait "stockez tout votre or chez nous, mais en fait vous n'avez aucun droit une fois qu'il est ici". Si c'est le cas, qui dans le monde confiera ses données aux États-Unis ?
III. Position des parties sur le "litige principal
Lorsqu'une autorité de protection des données estime qu'un destinataire de données est soumis à des obligations légales dans un pays tiers qui ne respecte pas le droit communautaire (comme dans le cas présent), la question se pose de savoir comment résoudre ce dilemme. Les trois parties à la procédure ont proposé trois réponses différentes :
DPC irlandais |
Max Schrems |
|
|
La surveillance américaine ne viole pas le droit communautaire ("aucun problème à résoudre") |
Non |
Non |
Oui |
L'article 4 des CSC permet de suspendre ("solution ciblée" pour les sociétés de la FISA) |
Non |
Oui |
Oui, s'il y avait un problème |
Les CSC ne sont pas valables dans le monde entier ("solution radicale") |
Oui |
Non |
Non |
- Facebook estime que la prémisse de la question est fausse, car la surveillance américaine est conforme au droit européen (pour diverses raisons) et l'affaire n'est pas régie par le droit européen.
- M. Schrems est d'avis que l'article 4 des CSC permet au DPC de suspendre les flux de données dans des cas individuels, mais le DPC n'utilise pas cette "solution ciblée" en vertu de la loi.
- Le DPC voit un problème "systématique" qui devrait conduire à l'invalidation des CSC à l'échelle mondiale et il ne devrait pas lui incomber d'agir dans chaque cas individuellement.
IV. FAQ et malentendus courants
- M. Schrems n'a-t-il pas essayé de faire supprimer les clauses contractuelles types ?
M. Schrems n'a jamais fait valoir que les clauses contractuelles types pourraient être invalides. De toutes les parties et de toutes les interventions à la CJUE, seul le CPT a estimé que les clauses contractuelles types devaient être invalidées. Tout le monde (institutions européennes, États membres, groupes de pression, Facebook et M. Schrems) est d'avis que les CSC ne sont pas invalides.
- L'UE ne fait-elle pas que bloquer le libre-échange ?
Il y a deux lois qui conduisent à ce conflit de juridictions : (1) les lois de surveillance américaines qui permettent la surveillance massive des étrangers et l'espionnage sans l'approbation d'un tribunal individuel et (2) le droit fondamental européen à la vie privée. Il est très rationnel d'interdire les flux de données vers un territoire étranger, si ces données peuvent être utilisées à mauvais escient. Les États-Unis ont des préoccupations similaires concernant les applications comme "TikTok" ou le matériel 5G de Huawei.
- Cette affaire ne signifie-t-elle pas que vous ne pouvez plus envoyer de courriels aux États-Unis ?
En termes simples, le GDPR parle de deux types de flux de données : (1) les flux de données nécessaires (comme les courriels ou la réservation d'un hôtel à l'étranger), pour lesquels il existe des dérogations à l'article 49 du GDPR et (2) les cas d'"externalisation" du traitement des données vers un pays tiers, qui ne sont pas strictement nécessaires. Même si les CSC étaient invalidés, cela n'aurait de conséquences que pour la deuxième catégorie de cas, dans lesquels aucune "dérogation" ne s'applique.
Pour les courriers électroniques, cela signifierait que la boîte aux lettres Gmail dans son ensemble ne pourrait plus être externalisée aux États-Unis, mais que les courriers électroniques individuels qui sont envoyés à un ami ou un collègue américain seraient toujours distribués (tout comme les courriers électroniques sont envoyés en Chine, en Russie ou même en Corée du Nord aujourd'hui).
- Cette affaire concerne-t-elle tous les flux de données vers les États-Unis ?
Selon les arguments de M. Schrems, la question essentielle est limitée aux entreprises qui relèvent d'une loi de surveillance spécifique appelée "FISA 702". Cette loi s'applique uniquement aux "fournisseurs de services de communication électronique" (comme Facebook, Google ou Microsoft), mais ne s'applique pas aux "entreprises traditionnelles" comme les compagnies aériennes, les hôtels, le commerce, les finances et autres.
Une autre question concerne une autorisation de surveillance appelée "EO 12.333", qui permet aux États-Unis de mener une surveillance dans n'importe quel secteur d'activité, y compris les câbles transatlantiques en dehors des États-Unis. Cette question est principalement pertinente pour l'évaluation du "Privacy Shield".
Dans l'ensemble, une suspension des transferts de données dans le cadre des CSC n'est nécessaire que pour les entreprises qui relèvent de la norme FISA 702, qui a été introduite en 2007. Le problème peut être résolu en fixant cette loi aux États-Unis.
- M. Schrems a-t-il poursuivi Facebook à deux reprises ?
Alors que M. Schrems a déposé la plainte initiale auprès du DPC en 2013, le DPC a mis cette procédure en pause et a intenté un procès contre Facebook et M. Schrems. Ils sont défendeurs et n'ont pas entamé cette (deuxième) saisine de la CJUE. En fait, M. Schrems et Facebook se sont tous deux opposés au renvoi devant la CJUE pour différentes raisons.
- Quel est le rapport entre cette affaire et le "bouclier de la vie privée" ?
Facebook a soulevé le "bouclier de la vie privée" dans cette affaire, car ils soutiennent que la Commission européenne a approuvé les lois de surveillance américaines dans le cadre du bouclier de la vie privée et que cette évaluation devrait également être contraignante lorsque les lois de surveillance américaines sont évaluées dans le cadre des CSC. M. Schrems a fait valoir que cette évaluation est factuellement incorrecte et que le "Privacy Shield" n'est donc pas valide.
Il n'est pas certain que l'Avocat général se prononce sur l'un ou l'autre argument, car les juges ont interrogé la Commission européenne de manière intensive sur le bouclier de la vie privée lors de l'audience.
- Pourquoi dites-vous que les CSC sont d'accord, mais pas le bouclier de protection de la vie privée ?
Le CSC est un outil générique pour environ 200 pays dans le monde. Il ne traite pas des lois de surveillance américaines. En cas de conflit avec une loi, l'article 4 du CSC permet au CPD d'arrêter le transfert de données. Les CSC ont donc une réponse au problème devant la Cour. Dans la décision "Privacy Shield", la Commission européenne a explicitement déclaré que la loi de surveillance américaine est conforme au droit européen, ce que nous désapprouvons fondamentalement.
- Selon vous, qu'aurait dû faire le CPD ?
En vertu de l'article 4 des CSC, toute autorité de protection des données (comme le CPD) peut arrêter les transferts de données, si les CSC ne sont pas respectés dans les faits. Facebook Ireland était au courant de la surveillance de la NSA depuis au moins 2013, mais n'a pris aucune mesure pour arrêter ou limiter les transferts de données. Dans de tels cas, le régulateur doit intervenir et prendre des mesures.
- Comment les entreprises peuvent-elles se conformer à une décision favorable ?
Tout d'abord, ils devraient identifier si certaines de leurs données sont transmises à un "fournisseur de services de communication électronique" américain qui relève de la norme FISA 702. La plupart des industries traditionnelles ne tombent pas sous le coup de ces lois de surveillance, mais les grandes entreprises technologiques que beaucoup d'entre nous utilisent (comme Facebook, Google, Amazon ou Microsoft) le font.
Même si les données vont à l'un de ces fournisseurs, la plupart des transferts de données essentiels (par exemple, l'envoi de courriels, de messages directs ou de données de réservation) peuvent toujours être transférés en vertu de ce que l'on appelle les "dérogations" dans la GDPR. Toutefois, en cas de simple "externalisation", les entreprises européennes peuvent être amenées à trouver des alternatives en dehors des États-Unis.