noyb Blog | Actualités

La CJUE s’apprête à ouvrir l’audience sur les transferts de données UE-États-Unis

Juil 8, 2019

Photo de CivArmy, Wikimedia Commons

Téléchargez la dernière version du communiqué de presse ici.

En raison du nombre important de demandes, nous avons résumé les faits essentiels de l’affaire portée devant la Cour de justice de l’Union européenne (CJUE) concernant les transferts de données UE-États-Unis et la surveillance de masse par le gouvernement américain. L’affaire sera entendue demain (9h00, mardi 9 juillet) devant la Grande Chambre de la Cour de justice.

Historique de l’affaire

L’affaire fait suite à une plainte déposée par le juriste spécialisé dans la protection de la vie privée Max Schrems contre Facebook en 2013 (lien vers la plainte). Il y a plus de six ans, Edward Snowden a révélé que Facebook permettait aux services de renseignements américains d’accéder aux données personnelles des Européens dans le cadre de programmes de surveillance tel que « PRISM » (voir Wikipedia). La plainte vise à faire cesser les transferts de données de Facebook entre l’UE et les États-Unis. Jusqu’à présent, l’autorité de protection irlandaise n’a pris aucune mesure concrète en ce sens.

Premier rejet et jugement de la CJUE sur l’accord dit « Safe Harbor »

L’affaire a d’abord été rejetée par le commissaire irlandais chargé de la protection des données (DPC) en 2013, puis soumise à un contrôle juridictionnel en Irlande et à un renvoi devant la Cour de justice de l’Union européenne (CJUE). En 2015, la CJUE a décidé que l’accord dit « Safe Harbor » qui autorisait les transferts de données entre l’UE et les États-Unis était invalide (lien vers l’arrêt C 362/14) et que l’autorité irlandaise devait enquêter sur cette affaire, ce qu’elle avait initialement renoncé à faire.

Informations sur l’utilisation de « Clauses contractuelles types »

Étonnamment, l’autorité irlandaise a informé M. Schrems fin 2015 que Facebook ne s’était en réalité jamais appuyé sur l’accord « Safe Harbor » désormais invalidé, mais sur les « Clauses Contractuelles Types » (autre mécanisme de transfert de données de l’UE vers les États-Unis) dès 2013. L’autorité irlandaise avait omis de révéler ce fait et avait plutôt laissé entendre que l’accord de Safe Harbor l’empêchait de poursuivre l’affaire. Ce « détour » a rendu le premier arrêt de la CJUE inopérant en l’espèce.

Deuxième enquête et procès

  1. Schrems a adapté sa plainte aux transferts effectués en vertu de « clauses contractuelles types » et a également exigé la fin des transferts de données vers Facebook USA, au motif qu’ils mettent les données à la disposition de la NSA. L’enquête de l’autorité irlandaise n’a duré que quelques mois, de décembre 2015 au printemps 2016. Au lieu de statuer sur la plainte, l’autorité irlandaise a intenté une action en justice contre Facebook et M. Schrems (tous deux sont maintenant défendeurs) devant la Haute Cour irlandaise en 2016, afin de renvoyer d’autres questions préjudicielles à la CJUE. Après plus de six semaines d’audiences qui se sont principalement déroulées en 2017, la Haute Cour irlandaise a conclu que le gouvernement américain s’engageait dans un « traitement de masse » des données personnelles européennes et a renvoyé onze questions à la CJUE (lien vers le jugement) en 2018.

Prochaines étapes

La CJUE a inscrit l’affaire sous la numérotation C-311/18 et l’entendra une deuxième fois le 9 juillet 2019, soit environ six ans après le dépôt de la plainte initiale. Un jugement est attendu avant la fin de l’année. Après le jugement de la CJUE, l’autorité irlandaise devrait finalement statuer sur la plainte pour la première fois. La décision pourrait à nouveau faire l’objet d’un recours de la part de Facebook ou de M. Schrems.

Arguments fondamentaux des parties

  • Le commissaire irlandais à la protection des données s’associe à M. Schrems pour dire que les lois américaines en matière de surveillance violent les droits fondamentaux au respect de la vie privée, à la protection des données et à un recours effectif en vertu du droit européen. L’autorité irlandaise semble toutefois admettre qu’elle n’a pas le pouvoir de résoudre le problème. Étant donné que le mécanisme de transfert de données utilisé par Facebook (clauses contractuelles types) ne prévoit pas une telle situation, les clauses elles-mêmes doivent être invalidées. Cela signifierait que les transferts de données vers tout pays non membre de l’UE en vertu de cet instrument devraient être interrompus.
  • Facebook estime que la législation américaine ne va pas au-delà de ce qui est légal en vertu du droit de l’Union européenne. Facebook met également en doute la compétence de l’UE en matière de « sécurité nationale ». En résumé, Facebook ne voit aucun problème à continuer à transférer des données vers les États-Unis en dépit de l’application de lois de surveillance de masse comme la FISA. Facebook s’appuie également sur l’évaluation faite par la Commission européenne de la législation américaine dans la décision dite « Privacy Shield » (Bouclier de Protection des Données), qui affirme que la législation américaine en matière de surveillance est conforme aux exigences de l’UE.
  • Schrems s’accorde avec l’autorité irlandaise sur ce problème, mais propose une solution plus mesurée. La loi (article 4 clauses contractuelles types) permet à la DPC irlandaise de faire cesser les transferts de données individuels (à l’image de ceux effectués par Facebook). M. Schrems affirme que l’autorité irlandaise a le devoir d’agir, au lieu de renvoyer l’affaire devant la CJUE.

En ce qui concerne l’utilisation du « Privacy Shield » par Facebook, M. Schrems estime que la décision de la Commission européenne relative au bouclier de protection des données ne décrit pas correctement les lois américaines en matière de surveillance. Celle-ci n’est certainement pas en mesure d’offrir une protection adéquate de la vie privée et doit donc être invalidée.

  • Commission européenne : La Commission européenne devrait défendre ses deux décisions : Les clauses contractuelles types et le bouclier de protection de la vie privée. Elle se rangera probablement du côté des États-Unis et de Facebook sur l’idée qu’il n’y a pas de violation des droits fondamentaux aux États-Unis, mais reconnaîtra également que l’autorité irlandaise a le pouvoir de résoudre le problème elle-même si la CJUE constate une violation des droits fondamentaux aux États-Unis.

Déclaration de M. Schrems

Max Schrems, président de noyb – Centre européen des droits du numérique: “Nous proposons une solution mesurée : La DPC irlandaise doit simplement appliquer les règles correctement au lieu de renvoyer l’affaire au Luxembourg systématiquement.  Cette affaire est en instance depuis six ans. Au cours de ces six années, la DPC n’a rendu de décision que dans 2 à 3 % des cas qui lui ont été soumis. Nous n’avons pas de problème avec les « clauses contractuelles types », nous avons un problème d’exécution. »

 

noyb

noyb est une nouvelle association européenne dont le but est de faire respecter le droit au respect de la vie privée au moyen d’actions en justice. Elle soutient cette affaire et est elle-même soutenue par plus de 3.500 membres donateurs.

Chiffres clés

Les parties devant la Cour sont le Commissaire irlandais à la protection des données, Facebook Ireland Ltd, et Max Schrems. La Cour irlandaise a également autorisé quatre « amicus curiae » (assistants neutres de la cour) à se joindre à l’affaire, à savoir le gouvernement américain, le Electronic Privacy Information Center (epic.org), et deux organisations de lobby de l’industrie.

Tous les États membres de l’UE, la Commission européenne, le Parlement européen et le Conseil européen de la protection des données (CEPD) ont pu présenter des observations.

#MakePrivacyReal

Our work is made possible by more than 3.100 supporting members – any maybe you?