Transferts de données entre l'UE et les États-Unis

Cette page est uniquement disponible en tant que traduction automatique en français. Vous pouvez toujours basculer vers la version anglaise originale.

Contexte

Cette affaire porte essentiellement sur un conflit de lois entre les lois américaines sur la surveillance, qui exigent une surveillance, et les lois européennes sur la protection des données, qui exigent le respect de la vie privée.

Problème : les lois de surveillance américaines

En 2013, Edward Snowden a révélé publiquement que les agences de renseignement américaines ont accès aux données personnelles des utilisateurs européens à l'aide de programmes de surveillance tels que PRISM. Cet accès a été facilité par une loi américaine dont on ne sait pas si elle permet une surveillance aussi étendue, appelée 50 U.S.C. §1881a (ou FISA 702). La FISA 702 a été adoptée en 2008 et a fondamentalement élargi les options de surveillance et d'accès aux données pour les autorités américaines. Parallèlement à cette expansion, de plus en plus de données personnelles étaient collectées par les fournisseurs américains de services de communication électronique (comme Apple, Microsoft, Facebook, Google et Yahoo). La combinaison de ces facteurs a eu un impact de plus en plus préjudiciable sur la vie privée des utilisateurs européens.

En vertu de la norme FISA 702, les "fournisseurs de services de communication électronique" américains (tels que définis dans la norme 50 U.S.C. §1881(4)) peuvent être contraints de donner aux autorités de sécurité américaines l'accès aux données à caractère personnel des "personnes non américaines", qui sont définies comme toute personne qui n'est pas un citoyen américain ou un résident permanent des États-Unis. Les ordonnances de surveillance prévues par cette loi ne doivent pas être spécifiques à une cible individuelle, mais permettent plutôt de mettre en place tout un programme de surveillance générale tel que PRISM ou Upstream. Il n'y a pas d'autorisation judiciaire individualisée pour les personnes non américaines. La loi FISA 702 autorise également la surveillance à des fins assez larges, telles que "les informations qui ... concernent ... la conduite des affaires étrangères des États-Unis" (voir 50 U.S.C. §1801(e)).

Il existe également des pouvoirs de surveillance américains basés sur le "pouvoir inhérent du président américain" et définis plus précisément dans un décret (EO 12.333), tandis que d'autres éléments sont décrits dans la directive 28 sur la politique présidentielle (PPD-28). Il s'agit dans les deux cas d'ordres internes au sein du pouvoir exécutif qui ne créent aucun devoir ou droit pour les entités privées, mais permettent la surveillance de personnes non américaines.

Les documents divulgués par Edward Snowden énumèrent un certain nombre de sociétés américaines qui fournissent des données au gouvernement américain pour des programmes de surveillance comme PRISM ou Upstream en vertu de ces dispositions, notamment Apple, Microsoft, Facebook, Google et Yahoo.

Réaction : Le GDPR limite les transferts de données

La législation européenne sur la vie privée (anciennement la directive 95/46, et maintenant la GDPR) est basée sur le concept de libre circulation des données personnelles, mais uniquement dans une sphère qui protège la vie privée des utilisateurs. Si les données à caractère personnel n'étaient protégées qu'à l'intérieur de l'Union européenne mais pouvaient être transférées en dehors de la juridiction de l'UE sans aucune restriction, le niveau élevé de protection des données à caractère personnel nécessaire au sein de l'UE pourrait facilement être mis à mal.

Toutefois, le droit communautaire a toujours prévu simultanément des exceptions à ce principe de limitation des transferts, par exemple lorsque des données à caractère personnel doivent nécessairement être transférées (par exemple lors de la réservation d'un service à l'étranger ou de l'envoi d'un courrier électronique) ou lorsqu'un utilisateur consent librement à un transfert. Ces dérogations pour les transferts non structurels sont actuellement codifiées dans l'article 49 du RDP.

En outre, le droit européen reconnaît qu'il peut y avoir des situations où des entreprises non européennes offrent un niveau de protection équivalent pour les données à caractère personnel. Dans certains pays, le droit national est similaire au droit communautaire (par exemple, en Suisse, en Israël, au Canada ou au Japon), et dans d'autres pays, les entreprises peuvent s'engager volontairement à respecter les principes de l'UE en signant des accords de droit civil, tels que les clauses contractuelles types (SCC), les règles d'entreprise contraignantes ou le bouclier de protection de la vie privée UE-USA. Ces dernières bases juridiques se trouvent aux articles 46 à 48 du GDPR et sont largement utilisées dans des situations que l'on peut qualifier d'"externalisation" du traitement des données à caractère personnel par les entreprises vers des pays non membres de l'UE.

Comme les États-Unis ne disposent pas d'une loi fédérale ou omnibus sur la protection de la vie privée, les entreprises américaines doivent recourir à l'une des options contractuelles prévues aux articles 46 à 48 du GDPR pour l'externalisation. Toutefois, pour les entreprises qui relèvent des lois américaines sur la surveillance, le recours à ces options contractuelles est impossible en pratique, car la législation américaine les oblige à enfreindre leurs obligations au titre du droit communautaire. Ce problème est au cœur de toutes les affaires opposant M. Schrems, le commissaire irlandais à la protection des données (DPC) et Facebook, car Facebook relève clairement des lois de surveillance américaines et a participé à des programmes tels que PRISM, tout en signant contradictoirement les CSC, la sphère de sécurité et maintenant le Privacy Shield (la décision sur les transferts de données entre l'UE et les États-Unis remplaçant la sphère de sécurité).

Première référence à la CJUE en 2013-2015 ("Safe Harbor")

Procédure devant le commissaire irlandais à la protection des données (DPC)

Après les révélations de Snowden, M. Schrems (alors étudiant en droit autrichien) a déposé une plainte contre Facebook Ireland Ltd devant le commissaire irlandais à la protection des données (DPC). La plainte faisait valoir qu'en vertu de la Décision 2000/520/CE relative à la "sphère de sécurité" entre l'UE et les États-Unis (une décision exécutive prise par la Commission européenne en 2000) Les données personnelles de M. Schrems ne doivent pas être envoyées de Facebook Ireland Ltd (qui sert les utilisateurs de Facebook en dehors des États-Unis et du Canada) à Facebook Inc. (la société mère américaine), étant donné que Facebook doit accorder à l'Agence de sécurité nationale américaine l'accès à ces données.

Le DPC irlandais a rejeté la plainte de M. Schrems comme étant "frivole et vexatoire", en faisant valoir que Facebook s'appuyait sur la décision de la sphère de sécurité pour effectuer ses transferts de données vers les États-Unis. Selon le DPC, la Commission européenne avait accepté que la loi américaine soit adéquate dans la décision de 2000 (8 ans avant l'adoption de 50 U.S.C. § 1881a) et que le DPC était absolument lié par la décision de la Commission.

Contrôle judiciaire contre le DPC

En octobre 2013, M. Schrems a demandé un contrôle judiciaire de la décision de la DPC, en faisant valoir que la DPC pouvait utiliser une "clause d'urgence" dans la décision de la sphère de sécurité pour suspendre le transfert de données, et que dans tous les cas, la décision de la sphère de sécurité était invalide. Dans un jugement de 18. 6. 2014 [2014] IEHC 310, la Haute Cour irlandaise a mis la procédure en pause et a renvoyé l'affaire devant la Cour de justice de l'Union européenne (CJUE). La Haute Cour irlandaise a largement reconnu l'existence de la "surveillance de masse" dans le droit américain, mais a estimé qu'elle ne pouvait pas prendre de décision finale sur le cas de M. Schrems sans avoir d'abord déterminé la validité de la décision sur la sphère de sécurité. En vertu du droit communautaire, seule la CJUE peut se prononcer sur la validité d'actes communautaires tels que la décision relative à la sphère de sécurité, ce qui signifie que la Haute Cour irlandaise a dû renvoyer l'affaire devant la CJUE.

Arrêt de la CJUE du 6 octobre 2015 (C-362/14)

Dans un arrêt de principe (C-362/14 Schrems) la CJUE a déclaré la décision sur la sphère de sécurité invalide, suivant en grande partie les arguments de M. Schrems. La Cour a estimé qu'un pays tiers tel que les États-Unis doit fournir un niveau de protection "essentiellement équivalent" à celui offert par le droit communautaire, et que "la législation permettant aux autorités publiques d'avoir un accès généralisé" violait l'essence du droit fondamental de l'UE au respect de la vie privée en vertu de l'article 7 de la Charte des droits fondamentaux de l'UE (CFR). De même, l'absence de tout recours juridique aux États-Unis pour les personnes non américaines viole le droit fondamental à un recours judiciaire en vertu de l'article 47 de la Charte des droits fondamentaux.

Suite à l'arrêt de la CJUE, la Haute Cour irlandaise a clôturé la procédure devant les tribunaux irlandais, le DPC s'étant engagé à mettre rapidement en œuvre la décision de la CJUE.

Deuxième renvoi à la CJUE en 2015-20 (CSC et bouclier de protection de la vie privée)

Informations sur lesquelles Facebook s'est effectivement appuyé sur les CSC

À la grande surprise de M. Schrems, en novembre 2015, le CPD l'a informé que l'arrêt de la CJUE sur la décision relative à la sphère de sécurité n'était pas pertinent pour sa plainte initiale, car Facebook s'était en fait toujours appuyé sur les "clauses contractuelles types" (SCC) pour effectuer ses transferts de données. Le CPD n'avait pas divulgué ces informations à M. Schrems, ce qui l'a amené à croire que Facebook s'était appuyé sur la "sphère de sécurité", alors qu'il avait déjà reçu ces informations de Facebook dans une réponse par courrier électronique à la plainte en 2013.

M. Schrems a donc reformulé sa plainte pour y inclure désormais les CSC et toute autre base juridique pour les transferts de données sur laquelle Facebook pourrait s'appuyer, et a fourni au DPC une plainte actualisée le 1er décembre 2015. M. Schrems a fait valoir que le CPD devrait utiliser l'article 4 de la décision des CSC pour suspendre les transferts, puisque l'article 4 permet au CPD de suspendre les transferts de données si les droits fondamentaux des utilisateurs sont violés.

**Poursuite du CPD contre Facebook et M. Schrems**

Au lieu de se prononcer rapidement sur l'affaire, le CDP a étonnamment intenté un procès à Facebook Ireland Ltd et à M. Schrems peu après avoir commencé son "enquête" sur la plainte reformulée impliquant les deux parties. Selon le DPC, les deux parties étaient les "défendeurs naturels" dans cette affaire, et le DPC a été contraint de demander à la Haute Cour d'émettre une autre référence à la Cour de justice de l'UE. M. Schrems a contesté l'affaire, faisant valoir que le DPC ne peut saisir la CJUE une deuxième fois qu'après avoir examiné tous les faits et questions.

Plusieurs parties ont demandé à être jointes en tant qu'amicus (aides neutres de la cour) à l'affaire ; le gouvernement américain, EPIC.org et deux groupes de pression de l'industrie y ont été joints.

Dans le procès, le CDP a fait valoir qu'il ne se joindrait pas seulement aux préoccupations de M. Schrems concernant la loi de surveillance américaine, mais qu'il avait également de sérieuses réserves quant à la validité des CSC utilisés par Facebook. Le CPD a estimé que les CSC ne prévoient pas de mécanisme légal de transfert de données, si un pays tiers comme les États-Unis a adopté des lois qui sont en conflit avec les CSC. Facebook et M. Schrems n'ont pas contesté les CSC eux-mêmes et ont convenu que dans un tel cas, l'article 4 de la décision (UE) 2010/87 sur les CSC permettrait de trouver une solution.

Contrairement à M. Schrems et au CPD, Facebook ne voit aucun problème dans les lois de surveillance américaines et estime que l'UE n'est pas compétente pour les questions de "sécurité nationale". Facebook s'est également appuyé sur la décision "Privacy Shield Decision (EU) 2016/1250" de la Commission européenne, qui a remplacé la décision "Safe Harbor" invalidée. Dans cette décision, la Commission européenne a estimé qu'il n'y avait pas de conflit entre les lois de surveillance américaines et les droits fondamentaux de l'UE. Selon Facebook, cette conclusion de la décision Privacy Shield doit également s'appliquer aux transferts dans le cadre des CSC. M. Schrems a estimé que la décision Privacy Shield elle-même est invalide car elle déforme fondamentalement les lois de surveillance américaines et ne constitue donc pas une autorité pour interpréter les CSC.

Après plusieurs étapes de procédure et plus de cinq semaines d'audiences au cours desquelles de nombreux experts ont témoigné sur la législation américaine en matière de surveillance, la Haute Cour irlandaise a reconnu l'existence des programmes de surveillance de masse du gouvernement américain. Dans un jugement du 3 octobre 2017 [2017] IEHC 545, la Haute Cour irlandaise a résumé toutes les conclusions factuelles, en soulignant que les États-Unis procèdent à un "traitement de masse" des données personnelles, en filtrant par exemple l'ensemble du trafic Internet qui passe par certaines parties de la dorsale Internet. Le 13 avril 2018, elle a renvoyé onze questions interprétatives à la CJUE pour détermination. Les questions ont été rédigées dans une large mesure par le CPT.

Suite à ce renvoi, Facebook s'est adressé à la Cour suprême irlandaise pour tenter de faire cesser le renvoi par la Haute Cour, mais l'appel a finalement été rejeté le 31 mai 2019.

Procédure devant la CJUE (C-311/18)

Le 30 août 2018, les parties ont dû présenter leurs observations écrites.

Le 19 juillet 2019, la CJUE a entendu l'affaire devant la Grande Chambre (la plus grande composition de la Cour, avec 15 juges), qui a entendu les trois parties, les quatre amicus curiae, la Commission européenne, le Parlement européen, le Conseil européen de protection des données (CEPD) et un grand nombre de gouvernements des États membres de l'UE. Les questions des juges se sont notamment concentrées sur les questions relatives aux lois américaines en matière de surveillance et sur la validité de la décision sur le bouclier de la vie privée.

Le 19 décembre 2019, l'avocat général (AG) de la Cour a rendu son avis consultatif non contraignant sur l'affaire, rejoignant en grande partie la position de M. Schrems. Selon l'avis, les lois américaines en matière de surveillance sont incompatibles avec les droits fondamentaux de l'UE, mais la solution à cette incompatibilité réside dans le fait que le CPD ordonne la suspension des transferts de données en vertu de l'article 4 de la décision de la CSC. Si l'AG a explicitement critiqué la décision sur le bouclier de la vie privée, il a estimé que la question de sa validité ne fait pas partie intégrante de l'affaire.

Le jugement final sur ces questions par la CJUE sera rendu le 16 juillet 2020 à partir de 9h30 environ.

DSB autrichien : les outils de méta-traçage sont illégaux

16 Mar 2023 L'autorité autrichienne de protection des données (DSB) a décidé que l'utilisation du pixel de suivi de Facebook viole directement le GDPR et la décision dite "Schrems II" sur les flux de données tran

Déclaration sur la décision d'adéquation de la Commission européenne concernant les États-Unis

13 Déc 2022 Notre courte déclaration sur le projet de décision d'adéquation UE-USA de la Commission européenne.

Le nouveau décret américain a peu de chances de satisfaire à la législation européenne

07 Oct 2022 Aujourd'hui, le gouvernement américain a publié un ordre exécutif, censé limiter la surveillance des États-Unis. Il s'agit d'une première déclaration de noyb.

6 mois d'"accord de principe", l'accord entre l'UE et les États-Unis n'a toujours pas été conclu

25 Sep 2022 il y a 6 mois, la présidente de la Commission européenne, Mme von der Leyen, et le président américain, M. Biden, ont annoncé un accord de "principe" sur les transferts de données entre l'UE et les États-Unis. Jusqu'à ce jour, il n'y a toujours pas d'accord.

Un mois pour que les autorités de protection des données européennes se prononcent sur les transferts de données de Facebook entre l'UE et les États-Unis

07 Juil 2022

MISE À JOUR : l'autorité de protection des données de l'UE ordonne à nouveau l'arrêt de Google Analytics

05 Juil 2022 L'APD italienne (GPDP) a rejoint le consensus partagé par le CEPD, ainsi que l'APD française et autrichienne et a interdit l'utilisation de Google Analytics (GA)

Soutenez nous!

Financement: notre objectif

73.99 %

Je contribue!

Suivez nous!

Media Coverage

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.

DPC seeking penalty of up to €36m against Facebook

The Data Protection Commission (DPC) has suggested a penalty of between €28 million and €36 million for Facebook in a draft decision made against the company. Austrian privacy and data rights campaigner Max Schrems’s NYOB organisation, which filed the original complaint against the technology giant, has published the commission’s draft decision online.