La saga Schrems

#1 What's up EU!

Oct 02, 2020

#transfertUE-États-Unis #data #RGPD #Surveillance #ÉtatsUnis #PrivacyActivism

Couverte par la Cour de justice de l’UE, et du nom difficilement prononçable (essayez à haute voix) de Max Schrems, jeune activiste autrichien, la saga Schrems fait la joie des “Privacy activists” du vieux continent. Elle inquiète Facebook, et devrait préoccuper les quelques milliers de sociétés qui mettent Internet au cœur de leur activité.

Casus belli

En 2013, Edward Snowden révèle que les services de renseignement américains ont accès aux données personnelles des utilisateurs européens que traient les fournisseurs de services de “communication électronique” comme Facebook, Apple, Microsoft, Google (et autres) grâce aux programmes de surveillance PRISM et Upstream.

En principe, le transfert de données, lorsqu’il a pour objet la sécurité nationale, ne concerne pas le droit de l’Union européenne (le RGPD en particulier).

Mais dans le cas du transfert de données UE-États-Unis de Facebook, c’est à des fins commerciales, juge la Cour, que Facebook Ireland transfère à sa société-mère américaine les données récoltées en Europe. Comme l’écrit l’Avocat général de la Cour de justice (vous trouverez ses conclusions ici 🔎), peu importe “l’objet des éventuels traitements ultérieurs que subiront les données transférées de la part des autorités publiques du pays tiers de destination”. Le transfert de données personnelles depuis l’Europe vers les États-Unis est donc bien soumis au contrôle européen.

Le débat : vie privée ou (sur)vie économique ?

Le juge européen cherche dans cette affaire un point d’équilibre entre

la nécessité d’affirmer les valeurs fondamentales reconnues au sein de l’UE (dont le droit au respect de la vie privée), et
celle de faire preuve d’un « degré de pragmatisme raisonnable afin de permettre une interaction avec le reste du monde » (repris par l’Avocat général, ce sont les mots de Peter Hustinx, ancien contrôleur européen à la protection des données).

L’expression de Hustinx cache des enjeux de taille. Parmi ceux-là : éviter de mettre son nez dans l’organisation des services secrets américains et, surtout, rester pragmatique et ne pas priver l’Europe de ressources économiques majeures.

Comme le prêchait Nick Clegg pour Facebook la semaine dernière, les réseaux sociaux sont devenus autant d’infrastructures essentielles : en Europe pas moins de 25 millions d’entreprises utilisent les applications et les outils du réseau social. Cela aurait contribué à générer près de 208 milliards d’euros de ventes, se traduisant par 3 millions d’emplois. Facebook sait se rendre indispensable :

“Our most important role is to continue to provide that extraordinary capacity for small businesses to do something which in the past only big businesses could do: effective marketing tools, based on personalized ads, Facebook’s business model, to reach customers.”
— Nick Clegg, VP Affaires internationales et Communication @ Facebook, lors de la conférence Rebooting the EU economy 👀.

Certes, les entreprises européennes ont besoin de Facebook, mais c’est tout à fait réciproque : le vieux continent représentait l’année dernière un quart de son chiffre d’affaires.

L’affaire

En juin 2013, Max Schrems saisit le Data Protection Commissionner irlandais (DPC) pour que soit ordonnée la suspension ou l’interdiction pour l’avenir du transfert de ses données par la société outre Atlantique.

Il estime qu’au regard des révélations d’Edward Snowden, le droit et les pratiques en vigueur aux États-Unis ne garantissent pas une protection suffisante des données à caractère personnel conservées sur ce territoire contre les intrusions découlant des activités de surveillance. La Cour de justice est du même avis.

Fin des accords sur le transfert UE-États-Unis

Du fait de l'ampleur de l'atteinte portée aux droits fondamentaux des personnes dont les données sont transférées vers les États-Unis, Max Schrems parvient à faire invalider deux accords entre l’UE et les États-Unis :

la Sphère de sécurité (Safe Harbor), invalidé par le juge européen lors de l’affaire Schrems I en 2015 (CJUE, 6 octobre 2015, C-362/14) ;
et le Bouclier de protection des données UE-États-Unis (EU-US Privacy Shield), invalidé en juillet 2020 lors de l’affaire Schrems II (CJUE, 16 juillet 2020, C-311/18).

Jusqu’à juillet dernier, ces deux accords ont l’un après l’autre servi de fondement juridique aux transferts de données à caractère personnel vers les États‑Unis. En pratique, pour transférer des données sous couvert du Privacy Shield, les plus de 5.000 entreprises concernées devaient seulement autocertifier leur adhésion aux principes européens de protection des données énoncés dans cet accord.

Désormais, la CJUE a aboli le privilège américain : les transferts effectués sur la base de ce cadre juridique sont illégaux. Et Non Of Your Business, l’organisation de Max Schrems, n’a pas perdu de temps pour réagir…👇

noyb @NOYBeu

One Month after #SchremsII we have filed 101 #GDPR complaints on EU controllers continuing to send the data of each webpage visitor to Google US and Facebook US under #PrivacyShield or #SCCs ⏩More: noyb.eu/en/101-complai… ⏩All Complaints: noyb.eu/en/eu-us-trans… #WatchDogs

Le joker : les clauses contractuelles types

L’invalidation des accords ne suffit pas pour en finir avec ces transferts. Ce qui reste de l'édifice juridique est un instrument distinct : les clauses contractuelles types adoptées par la Commission européenne.

Mécanisme courant, ces modèles de contrats de transfert de données sont insérées par les sociétés exportatrices de données (Facebook Ireland par exemple) dans les contrats avec leurs importateurs (dont Facebook Inc). Il sert aussi de base aux transferts de données vers un grand nombre d’autres pays en dehors de l’Union.

Dans l’arrêt Schrems II, la Cour de justice juge que ces clauses restent valides, même si elles ne lient pas les autorités des États tiers à l'UE et notamment, dit-elle, "lorsque le droit de ce pays tiers permet aux autorités publiques de celui-ci [le FBI, la CIA…] des ingérences dans les droits des personnes concernées relatifs à ces données".

Mais, la haute juridiction européenne ajoute que cette validité dépend du point de savoir si les CCT comportent bien des mécanismes efficaces permettant concrètement, et au cas par cas :

d'assurer le respect d’un niveau de protection équivalent à celui garanti au sein de l'UE par le RGPD ;
de suspendre ou d’interdire les transferts de données personnelles opérés au moyen des CCT en cas de violation de ces clauses ou d'impossibilité de les respecter.

Elle rappelle notamment que le mécanisme des clauses contractuelles types :

impose à l’exportateur de données et au destinataire des données l'obligation de vérifier, avant tout transfert, en prenant en compte les circonstances du transfert, si le niveau de protection est respecté dans le pays tiers concerné ;
exige que l'importateur de données informe l'exportateur de données de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses, l'exportateur de données étant alors, en contrepartie, tenu de suspendre le transfert de données et/ou de résilier le contrat avec l'importateur de données.

Le juge européen laisse donc le DPC irlandais vérifier si, en pratique, les CCT entre Facebook Ireland et Facebook Inc sont efficaces. En attendant la décision définitive (qui n’a pas encore été prononcée), le DPC a commencé par demander au réseau social de suspendre les transferts de données vers les États-Unis👇

The Wall Street Journal @WSJ

Ireland’s privacy regulator sent Facebook a preliminary order to suspend data transfers to the U.S. about its EU users, according to people familiar with the matter

on.wsj.comWSJ News Exclusive | Ireland to Order Facebook to Stop Sending User Data to U.S.Privacy regulator’s order to suspend the company’s data transfers to the U.S. cites concerns over American government surveillance practices

Côté américain, avant-hier, le 30 septembre 2020, le Department of Commerce américain s’est exprimé en faveur du maintien de ces clauses contractuelles types à l’occasion d’un communiqué (ce White Paper est disponible ici).

L’incertitude

Depuis l’arrêt de la CJUE et en attendant la décision de l’autorité irlandaise, l’incertitude juridique est totale. Pendant que Facebook tente de raisonner la Commission européenne, certains juristes pensent que l’heure de la souveraineté du Cloud européen a sonné, d’autres, que Facebook (et les autres) va devoir se scinder en deux.

Quoi qu’il en soit, Margarethe Vestager, a annoncé début octobre qu’un nouveau dispositif permettant aux entreprises de transférer les données des Européens devrait être prêt d’ici la fin de l’année 2020.

noyb @NOYBeu

💬 The Commission has announced new SCCs to comply with the Court's ruling. It seems that @VeraJourova and @dreynders changed their mind, since they announced in July that transatlantic data flows could continue on the basis of the SCCs. ➡ reuters.com/article/us-eu-…

Bonus+

🍿 Faites un tour sur le site de l’organisation de Max Schrems : My Privacy is Non of Your Business. On y trouve un document de 45 pages publié il y a quelques jours qui recense les réponses des entreprises (Revolut, Tinder, Zoom, etc) aux questions “Transférez-vous des données en dehors de l’UE ?”, “Quelle est la base légale de chaque transfert de données ?”…

🇺🇸 Sur un autre sujet, dans un article daté sur WIRED, Renee DiResta parle de réparer l’amplification algorithmique des informations sur Facebook, YouTube etc. : Free Speech Is Not the Same As Free Reach. Un débat qui revient dans l’actualité à l’occasion des élections américaines.

What's up EU