Transferts de données entre l'UE et les États-Unis
Contexte
Cette affaire porte essentiellement sur un conflit de lois entre les lois américaines sur la surveillance, qui exigent une surveillance, et les lois européennes sur la protection des données, qui exigent le respect de la vie privée.
Problème : les lois de surveillance américaines
En 2013, Edward Snowden a révélé publiquement que les agences de renseignement américaines ont accès aux données personnelles des utilisateurs européens à l'aide de programmes de surveillance tels que PRISM. Cet accès a été facilité par une loi américaine dont on ne sait pas si elle permet une surveillance aussi étendue, appelée 50 U.S.C. §1881a (ou FISA 702). La FISA 702 a été adoptée en 2008 et a fondamentalement élargi les options de surveillance et d'accès aux données pour les autorités américaines. Parallèlement à cette expansion, de plus en plus de données personnelles étaient collectées par les fournisseurs américains de services de communication électronique (comme Apple, Microsoft, Facebook, Google et Yahoo). La combinaison de ces facteurs a eu un impact de plus en plus préjudiciable sur la vie privée des utilisateurs européens.
En vertu de la norme FISA 702, les "fournisseurs de services de communication électronique" américains (tels que définis dans la norme 50 U.S.C. §1881(4)) peuvent être contraints de donner aux autorités de sécurité américaines l'accès aux données à caractère personnel des "personnes non américaines", qui sont définies comme toute personne qui n'est pas un citoyen américain ou un résident permanent des États-Unis. Les ordonnances de surveillance prévues par cette loi ne doivent pas être spécifiques à une cible individuelle, mais permettent plutôt de mettre en place tout un programme de surveillance générale tel que PRISM ou Upstream. Il n'y a pas d'autorisation judiciaire individualisée pour les personnes non américaines. La loi FISA 702 autorise également la surveillance à des fins assez larges, telles que "les informations qui ... concernent ... la conduite des affaires étrangères des États-Unis" (voir 50 U.S.C. §1801(e)).
Il existe également des pouvoirs de surveillance américains basés sur le "pouvoir inhérent du président américain" et définis plus précisément dans un décret (EO 12.333), tandis que d'autres éléments sont décrits dans la directive 28 sur la politique présidentielle (PPD-28). Il s'agit dans les deux cas d'ordres internes au sein du pouvoir exécutif qui ne créent aucun devoir ou droit pour les entités privées, mais permettent la surveillance de personnes non américaines.
Les documents divulgués par Edward Snowden énumèrent un certain nombre de sociétés américaines qui fournissent des données au gouvernement américain pour des programmes de surveillance comme PRISM ou Upstream en vertu de ces dispositions, notamment Apple, Microsoft, Facebook, Google et Yahoo.
Réaction : Le GDPR limite les transferts de données
La législation européenne sur la vie privée (anciennement la directive 95/46, et maintenant la GDPR) est basée sur le concept de libre circulation des données personnelles, mais uniquement dans une sphère qui protège la vie privée des utilisateurs. Si les données à caractère personnel n'étaient protégées qu'à l'intérieur de l'Union européenne mais pouvaient être transférées en dehors de la juridiction de l'UE sans aucune restriction, le niveau élevé de protection des données à caractère personnel nécessaire au sein de l'UE pourrait facilement être mis à mal.
Toutefois, le droit communautaire a toujours prévu simultanément des exceptions à ce principe de limitation des transferts, par exemple lorsque des données à caractère personnel doivent nécessairement être transférées (par exemple lors de la réservation d'un service à l'étranger ou de l'envoi d'un courrier électronique) ou lorsqu'un utilisateur consent librement à un transfert. Ces dérogations pour les transferts non structurels sont actuellement codifiées dans l'article 49 du RDP.
En outre, le droit européen reconnaît qu'il peut y avoir des situations où des entreprises non européennes offrent un niveau de protection équivalent pour les données à caractère personnel. Dans certains pays, le droit national est similaire au droit communautaire (par exemple, en Suisse, en Israël, au Canada ou au Japon), et dans d'autres pays, les entreprises peuvent s'engager volontairement à respecter les principes de l'UE en signant des accords de droit civil, tels que les clauses contractuelles types (SCC), les règles d'entreprise contraignantes ou le bouclier de protection de la vie privée UE-USA. Ces dernières bases juridiques se trouvent aux articles 46 à 48 du GDPR et sont largement utilisées dans des situations que l'on peut qualifier d'"externalisation" du traitement des données à caractère personnel par les entreprises vers des pays non membres de l'UE.
Comme les États-Unis ne disposent pas d'une loi fédérale ou omnibus sur la protection de la vie privée, les entreprises américaines doivent recourir à l'une des options contractuelles prévues aux articles 46 à 48 du GDPR pour l'externalisation. Toutefois, pour les entreprises qui relèvent des lois américaines sur la surveillance, le recours à ces options contractuelles est impossible en pratique, car la législation américaine les oblige à enfreindre leurs obligations au titre du droit communautaire. Ce problème est au cœur de toutes les affaires opposant M. Schrems, le commissaire irlandais à la protection des données (DPC) et Facebook, car Facebook relève clairement des lois de surveillance américaines et a participé à des programmes tels que PRISM, tout en signant contradictoirement les CSC, la sphère de sécurité et maintenant le Privacy Shield (la décision sur les transferts de données entre l'UE et les États-Unis remplaçant la sphère de sécurité).
Première référence à la CJUE en 2013-2015 ("Safe Harbor")
Procédure devant le commissaire irlandais à la protection des données (DPC)
Après les révélations de Snowden, M. Schrems (alors étudiant en droit autrichien) a déposé une plainte contre Facebook Ireland Ltd devant le commissaire irlandais à la protection des données (DPC). La plainte faisait valoir qu'en vertu de la Décision 2000/520/CE relative à la "sphère de sécurité" entre l'UE et les États-Unis (une décision exécutive prise par la Commission européenne en 2000) Les données personnelles de M. Schrems ne doivent pas être envoyées de Facebook Ireland Ltd (qui sert les utilisateurs de Facebook en dehors des États-Unis et du Canada) à Facebook Inc. (la société mère américaine), étant donné que Facebook doit accorder à l'Agence de sécurité nationale américaine l'accès à ces données.
Le DPC irlandais a rejeté la plainte de M. Schrems comme étant "frivole et vexatoire", en faisant valoir que Facebook s'appuyait sur la décision de la sphère de sécurité pour effectuer ses transferts de données vers les États-Unis. Selon le DPC, la Commission européenne avait accepté que la loi américaine soit adéquate dans la décision de 2000 (8 ans avant l'adoption de 50 U.S.C. § 1881a) et que le DPC était absolument lié par la décision de la Commission.
Contrôle judiciaire contre le DPC
En octobre 2013, M. Schrems a demandé un contrôle judiciaire de la décision de la DPC, en faisant valoir que la DPC pouvait utiliser une "clause d'urgence" dans la décision de la sphère de sécurité pour suspendre le transfert de données, et que dans tous les cas, la décision de la sphère de sécurité était invalide. Dans un jugement de 18. 6. 2014 [2014] IEHC 310, la Haute Cour irlandaise a mis la procédure en pause et a renvoyé l'affaire devant la Cour de justice de l'Union européenne (CJUE). La Haute Cour irlandaise a largement reconnu l'existence de la "surveillance de masse" dans le droit américain, mais a estimé qu'elle ne pouvait pas prendre de décision finale sur le cas de M. Schrems sans avoir d'abord déterminé la validité de la décision sur la sphère de sécurité. En vertu du droit communautaire, seule la CJUE peut se prononcer sur la validité d'actes communautaires tels que la décision relative à la sphère de sécurité, ce qui signifie que la Haute Cour irlandaise a dû renvoyer l'affaire devant la CJUE.
Arrêt de la CJUE du 6 octobre 2015 (C-362/14)
Dans un arrêt de principe (C-362/14 Schrems) la CJUE a déclaré la décision sur la sphère de sécurité invalide, suivant en grande partie les arguments de M. Schrems. La Cour a estimé qu'un pays tiers tel que les États-Unis doit fournir un niveau de protection "essentiellement équivalent" à celui offert par le droit communautaire, et que "la législation permettant aux autorités publiques d'avoir un accès généralisé" violait l'essence du droit fondamental de l'UE au respect de la vie privée en vertu de l'article 7 de la Charte des droits fondamentaux de l'UE (CFR). De même, l'absence de tout recours juridique aux États-Unis pour les personnes non américaines viole le droit fondamental à un recours judiciaire en vertu de l'article 47 de la Charte des droits fondamentaux.
Suite à l'arrêt de la CJUE, la Haute Cour irlandaise a clôturé la procédure devant les tribunaux irlandais, le DPC s'étant engagé à mettre rapidement en œuvre la décision de la CJUE.
Deuxième renvoi à la CJUE en 2015-20 (CSC et bouclier de protection de la vie privée)
Informations sur lesquelles Facebook s'est effectivement appuyé sur les CSC
À la grande surprise de M. Schrems, en novembre 2015, le CPD l'a informé que l'arrêt de la CJUE sur la décision relative à la sphère de sécurité n'était pas pertinent pour sa plainte initiale, car Facebook s'était en fait toujours appuyé sur les "clauses contractuelles types" (SCC) pour effectuer ses transferts de données. Le CPD n'avait pas divulgué ces informations à M. Schrems, ce qui l'a amené à croire que Facebook s'était appuyé sur la "sphère de sécurité", alors qu'il avait déjà reçu ces informations de Facebook dans une réponse par courrier électronique à la plainte en 2013.
M. Schrems a donc reformulé sa plainte pour y inclure désormais les CSC et toute autre base juridique pour les transferts de données sur laquelle Facebook pourrait s'appuyer, et a fourni au DPC une plainte actualisée le 1er décembre 2015. M. Schrems a fait valoir que le CPD devrait utiliser l'article 4 de la décision des CSC pour suspendre les transferts, puisque l'article 4 permet au CPD de suspendre les transferts de données si les droits fondamentaux des utilisateurs sont violés.
Poursuite du CPD contre Facebook et M. Schrems
Au lieu de se prononcer rapidement sur l'affaire, le CDP a étonnamment intenté un procès à Facebook Ireland Ltd et à M. Schrems peu après avoir commencé son "enquête" sur la plainte reformulée impliquant les deux parties. Selon le DPC, les deux parties étaient les "défendeurs naturels" dans cette affaire, et le DPC a été contraint de demander à la Haute Cour d'émettre une autre référence à la Cour de justice de l'UE. M. Schrems a contesté l'affaire, faisant valoir que le DPC ne peut saisir la CJUE une deuxième fois qu'après avoir examiné tous les faits et questions.
Plusieurs parties ont demandé à être jointes en tant qu'amicus (aides neutres de la cour) à l'affaire ; le gouvernement américain, EPIC.org et deux groupes de pression de l'industrie y ont été joints.
Dans le procès, le CDP a fait valoir qu'il ne se joindrait pas seulement aux préoccupations de M. Schrems concernant la loi de surveillance américaine, mais qu'il avait également de sérieuses réserves quant à la validité des CSC utilisés par Facebook. Le CPD a estimé que les CSC ne prévoient pas de mécanisme légal de transfert de données, si un pays tiers comme les États-Unis a adopté des lois qui sont en conflit avec les CSC. Facebook et M. Schrems n'ont pas contesté les CSC eux-mêmes et ont convenu que dans un tel cas, l'article 4 de la décision (UE) 2010/87 sur les CSC permettrait de trouver une solution.
Contrairement à M. Schrems et au CPD, Facebook ne voit aucun problème dans les lois de surveillance américaines et estime que l'UE n'est pas compétente pour les questions de "sécurité nationale". Facebook s'est également appuyé sur la décision "Privacy Shield Decision (EU) 2016/1250" de la Commission européenne, qui a remplacé la décision "Safe Harbor" invalidée. Dans cette décision, la Commission européenne a estimé qu'il n'y avait pas de conflit entre les lois de surveillance américaines et les droits fondamentaux de l'UE. Selon Facebook, cette conclusion de la décision Privacy Shield doit également s'appliquer aux transferts dans le cadre des CSC. M. Schrems a estimé que la décision Privacy Shield elle-même est invalide car elle déforme fondamentalement les lois de surveillance américaines et ne constitue donc pas une autorité pour interpréter les CSC.
Après plusieurs étapes de procédure et plus de cinq semaines d'audiences au cours desquelles de nombreux experts ont témoigné sur la législation américaine en matière de surveillance, la Haute Cour irlandaise a reconnu l'existence des programmes de surveillance de masse du gouvernement américain. Dans un jugement du 3 octobre 2017 [2017] IEHC 545, la Haute Cour irlandaise a résumé toutes les conclusions factuelles, en soulignant que les États-Unis procèdent à un "traitement de masse" des données personnelles, en filtrant par exemple l'ensemble du trafic Internet qui passe par certaines parties de la dorsale Internet. Le 13 avril 2018, elle a renvoyé onze questions interprétatives à la CJUE pour détermination. Les questions ont été rédigées dans une large mesure par le CPT.
Suite à ce renvoi, Facebook s'est adressé à la Cour suprême irlandaise pour tenter de faire cesser le renvoi par la Haute Cour, mais l'appel a finalement été rejeté le 31 mai 2019.
Procédure devant la CJUE (C-311/18)
Le 30 août 2018, les parties ont dû présenter leurs observations écrites.
Le 19 juillet 2019, la CJUE a entendu l'affaire devant la Grande Chambre (la plus grande composition de la Cour, avec 15 juges), qui a entendu les trois parties, les quatre amicus curiae, la Commission européenne, le Parlement européen, le Conseil européen de protection des données (CEPD) et un grand nombre de gouvernements des États membres de l'UE. Les questions des juges se sont notamment concentrées sur les questions relatives aux lois américaines en matière de surveillance et sur la validité de la décision sur le bouclier de la vie privée.
Le 19 décembre 2019, l'avocat général (AG) de la Cour a rendu son avis consultatif non contraignant sur l'affaire, rejoignant en grande partie la position de M. Schrems. Selon l'avis, les lois américaines en matière de surveillance sont incompatibles avec les droits fondamentaux de l'UE, mais la solution à cette incompatibilité réside dans le fait que le CPD ordonne la suspension des transferts de données en vertu de l'article 4 de la décision de la CSC. Si l'AG a explicitement critiqué la décision sur le bouclier de la vie privée, il a estimé que la question de sa validité ne fait pas partie intégrante de l'affaire.
Le jugement final sur ces questions par la CJUE sera rendu le 16 juillet 2020 à partir de 9h30 environ.