Connect with us

Technologie

La Cour européenne décidera de la légalité du partage de données ENTRE l’UE et les États-Unis dans un différend entre Schrems et Facebook

Published

on


La plus haute juridiction européenne décidera jeudi si les accords juridiques utilisés par les entreprises pour partager des données entre l’Europe, les Etats-Unis et d’autres pays sont en violation du droit européen.

La décision de la Cour de justice de l’Union européenne (CJUE) pourrait perturber les entreprises qui s’appuient sur des accords contractuels connus sous le nom de clauses contractuelles standard (CSC) pour partager des données à l’étranger conformément aux lois européennes sur la protection des données.

Les entreprises se préparent également à l’« option nucléaire » que la Cour pourrait choisir d’annuler le Bouclier de protection de la vie privée, l’accord global qui permet à l’Europe et aux États-Unis de partager des données, sans tomber en infraction avec les lois européennes sur la protection des données.

L’affaire, portée par la commissaire irlandaise à la protection des données Helen Dixon, s’inscrit dans le cadre d’une longue bataille menée par l’avocat autrichien Max Schrems contre Facebook Irlande. Schrems conteste la légalité du transfert de données personnelles par la société de médias sociaux aux États-Unis.

Au cœur de l’affrontement entre le Règlement général européen sur la protection des données (GDPR), qui accorde aux citoyens européens le droit à la confidentialité des données, et la législation américaine sur la surveillance de masse, qui donne aux agences de renseignement américaines l’accès aux données d’entreprises telles que Facebook une fois qu’elles atteignent les côtes américaines, est au cœur de la loi américaine sur la protection des données.

Dixon a renvoyé 11 questions à la Cour de justice européenne, qui donnera sa réponse cette semaine.

Décision « critique pour le commerce international »

Pour les entreprises qui comptent sur les CSC et le Bouclier de protection de la vie privée pour partager des données à l’étranger, la décision de la Cour fait beaucoup de choses.

« L’importance est énorme, car l’affaire remet en question le mécanisme juridique que tout le monde tient pour acquis et qui fonctionne depuis des décennies pour transférer des données d’Europe vers n’importe où ailleurs dans le monde », a déclaré Eduardo Ustaran, associé au cabinet d’avocats Hogan Lovells.

« Une partie du commerce international consiste à traiter, échanger et partager des données personnelles. Donc cette affaire, qui parle de savoir si c’est légal ou non, est absolument cruciale »

Eleonor Duhs, Poisson-champ

Eleonor Duhs, directeur du groupe de droit de la vie privée et de l’information au cabinet d’avocats Fieldfisher, a déclaré que l’affaire pourrait avoir des implications pour le commerce international.

« Une partie de notre façon de faire du commerce international consiste à traiter, échanger et partager des données personnelles », a-t-elle déclaré. « cette affaire, qui parle de la légalité ou non, est absolument cruciale. Et la question est, est-ce que cela peut continuer?

Selon la Business Software Alliance, l’une des parties à l’affaire, en octobre 2019, plus de 5 000 entreprises à travers les États-Unis comptaient sur Privacy Shield. Plus de 100 000 entreprises utilisent les CSC pour partager des données avec les États-Unis et d’autres pays.

Avocat général : Le commissaire irlandais à la protection des données devrait prendre des mesures

La Cour de justice européenne suit normalement – mais pas toujours – l’avis de l’avocat général.

En décembre 2019, l’avocat général, Henrik Saugmandsgaard Øe, a émis un avis préliminaire qui concluait que les clauses contractuelles types étaient légales.

Il a fait valoir que la responsabilité des CSC devrait être entre les mains des superviseurs nationaux de la protection des données – en l’occurrence le commissaire irlandais à la protection des données – pour suspendre les transferts de données s’ils ne respectent pas le droit de l’UE.

Bien que Saugmandsgaard Øe ait conclu que la Cour de justice européenne n’avait pas besoin de prendre une décision sur le bouclier de protection de la vie privée, il a soulevé de sérieuses questions quant à sa légalité.

« J’ai des doutes sur la validité de la conclusion que les États-Unis garantissent, dans le contexte de leurs services de renseignement… un niveau de protection adéquat », a-t-il déclaré.

Il est cependant loin d’être certain que la Cour de justice de l’Union européenne suivra les recommandations de Saugmandsgaard Øe.

Selon des personnes familières avec la procédure, contrairement à Saugmandsgaard Øe, le juge qui présidait l’affaire semblait considérer que le tribunal ne pouvait se prononcer sur des clauses contractuelles standard sans se prononcer également sur la validité du Bouclier de protection de la vie privée.

Il existe toute une série de scénarios que le tribunal pourrait envisager, allant, à l’extrême, de l’invalidation des CSC ou du Bouclier de protection de la vie privée, ou des deux.

La Cour pourrait également choisir de garder les CSC telles qu’elles sont, mais donner aux entreprises plus de responsabilité pour s’assurer qu’elles respectent la législation de l’UE en matière de protection des données.

Et il peut faire valoir que la commissaire irlandaise à la protection des données, Helen Dixon, a déjà les pouvoirs dont elle a besoin pour annuler les accords individuels SCC, tels que l’accord entre Facebook Irlande et Facebook Inc aux États-Unis.

Scénario 1 : La Cour invalide les CSC

Pour les entreprises, les pirese scénario serait une décision du tribunal de déclarer invalides les clauses contractuelles standard.

« Ce serait énorme, » a dit Duhs de Fieldfisher, « parce que c’est le mécanisme le plus habituel utilisé pour transférer des données. »

Des recherches menées par l’Association internationale des professionnels de la protection de la vie privée montrent qu’environ 88 % des transferts internationaux dépendent des CSC.

« Si le tribunal dit que les CSC ne sont pas légales, c’est vraiment, vraiment important et vraiment inquiétant », a-t-elle dit.

Scénario 2 : La Cour invalide le bouclier de protection de la vie privée

Il est possible, bien que moins probable, que le tribunal décide d’invalider privacy Shield.

Facebook a présenté des arguments juridiques au sujet du bouclier de protection de la vie privée tard dans l’affaire, faisant valoir que si la loi américaine de surveillance n’est pas un obstacle pour le bouclier de protection de la vie privée, alors il ne devrait pas être un obstacle pour les CSC.

Néanmoins, il y a un précédent ici. En 2015, la Cour de justice a statué que le prédécesseur de Privacy Shield, Safe Harbour, était invalide.

Ensuite, le tribunal a conclu que Safe Harbour n’était pas en mesure d’empêcher les autorités de renseignement américaines d’accéder à grande échelle aux données transférées d’Europe et qu’elle n’avait donc pas fourni un niveau adéquat de protection des données.

Scénario 3 : La Cour retarde la décision sur le bouclier de protection de la vie privée

L’un des résultats probables est que la CJUE attendra une autre affaire avant de se prononcer sur l’avenir du Bouclier de protection de la vie privée.

Cette affaire ne sera peut-être pas longue. Privacy Shield fait face à une contestation judiciaire distincte de la Français groupe de protection de la vie privée en ligne et anti-censure La Quadrature Du Net (LQDN) et d’autres, devant le Tribunal de l’UE, un tribunal inférieur à la Cour de justice.

Ils font valoir que le Bouclier de protection de la vie privée viole les droits fondamentaux à la vie privée en vertu de la Charte des droits fondamentaux de l’Union européenne, que le bouclier de protection de la vie privée ne garantit pas aux citoyens européens des recours efficaces contre l’utilisation abusive de leurs données aux États-Unis et qu’il n’offre pas une protection équivalente aux lois de l’UE sur les données.

L’UE et les États-Unis ont eu d’intenses discussions sur l’avenir du Bouclier de protection de la vie privée, anticipant que même s’il n’est pas invalidé, cette fois-ci, il pourrait faire l’objet de critiques de la CJUE.

Scénario 4 : La Cour impose aux entreprises de faire appel aux CSC

Un autre scénario est que la Cour de justice européenne suit l’avocat général en permettant aux CSC de rester valides.

Mais il incombera aux entreprises de veiller à ce que lorsqu’elles échangent des données avec les États-Unis, elles le fassent en conformité avec le droit de l’UE.

Cela pourrait signifier exiger des entreprises américaines qu’elles divulguent des rapports de transparence sur leur divulgation de données aux services de renseignement américains, et cela pourrait les obliger à s’opposer aux demandes de sécurité nationale pour des données qui entrent en conflit avec le droit de l’UE.

« Il faudrait compléter les CSC avec un contrat qui offre une plus grande transparence. Vous pouvez avoir un contrat qui dit que si vous avez la divulgation, assurez-vous qu’ils se conforment à la loi, exigent une ordonnance du tribunal, ne répondent qu’d’une manière minimal », a déclaré Hogan Lovells Ustaran.

Scénario 5 : Les commissaires à la protection des données vont policierr les CSC

Toutefois, le tribunal peut choisir de renforcer le rôle que les commissaires à la protection des données ont déjà dans le maintien de l’ordre dans l’adéquation des clauses contractuelles types.

C’est une option que la commissaire irlandaise à la protection des données, Helen Dixon, a rejetée dans le différend entre Schrems et Facebook.

« n raison de ne pas [suspending Facebook’s data sharing with the US], il ya eu quatre ans de flux de données qui n’auraient pas dû avoir lieu entre Facebook Irlande et Facebook Inc pour 250 millions ou 300 millions d’utilisateurs de Facebook »

Gerard Rudden, Ahern Rudden

Mme Dixon a fait valoir que si elle prenait des mesures en Irlande, cela risquait de créer un manque d’harmonisation dans l’ensemble de l’UE. Elle a renvoyé l’affaire devant la Cour de justice de l’Union européenne pour plus de clarté.

Gerard Rudden, associé chez Ahern Rudden, qui représente Schrems, considère que la décision de la Cour de justice de l’Union européenne d’obliger le commissaire irlandais à la protection des données à suspendre les flux de données de Facebook vers les États-Unis est le meilleur résultat pour son client.

« C’est ce que nous avons demandé et c’est ce que l’avocat général a recommandé à la cour », a-t-il dit.

Le commissaire à la protection des données aurait pu suspendre le partage de données de Facebook avec les États-Unis il y a quatre ans, sans détourner la CJUE.

« n raison de ne pas faire cela, il ya eu quatre ans de flux de données qui n’auraient pas dû avoir lieu entre Facebook Irlande et Facebook Inc pour 250 millions ou 300 millions d’utilisateurs de Facebook, a déclaré Rudden.

« Ce que nous disons, c’est qu’il n’est pas nécessaire que Facebook transfère toutes ces données aux États-Unis. Il pourrait être nécessaire pour eux pour des raisons structurelles et pour leur rentabilité. Mais ce n’est pas strictement necessary, dit-il.

Schrems: L’impact de la décision pourrait être limité

M. Schrems soutient que l’impact potentiel d’une décision de justice qui rend plus difficiles les transferts de données vers les États-Unis a été exagéré par les entreprises et les groupes de pression.

Si l’affaire va dans le sens de l’avis de l’avocat général et impose aux autorités chargées de la protection des données de suspendre le partage de données avec les États-Unis, la majorité des organisations partageant des données avec les États-Unis ne seront pas touchées.

Les entreprises qui seront touchées sont des « fournisseurs de services électroniques », y compris Facebook, qui ont l’obligation légale de partager des données personnelles avec la National Security Agency des États-Unis et d’autres organisations gouvernementales américaines.

« Les CSC peuvent encore être utilisés dans certains secteurs industriels aux États-Unis. Par exemple, la défense, les compagnies aériennes, les hôtels, la fabrication, la logistique – tout cela ne relève pas de ces lois de surveillance américaines. Il n’y a donc aucune raison d’arrêter le transfert de données ici », a-t-il déclaré.

D’autres entreprises peuvent décider simplement de stocker leurs données en Europe. « C’est souvent moins cher pour les entreprises parce qu’il y a un peu moins de coûts de conformité. Vous n’avez pas besoin d’avocats, vous n’avez pas besoin de paperasse, vous pouvez simplement obtenir un serveur plus ou moins du jour au lendemain.

Les transferts de données ne se tarissent pas immédiatement

Quelle que soit la décision, les transferts de données entre l’UE et les États-Unis ou l’UE et d’autres pays ne s’arrêteront pas du jour au lendemain. — Je pense qu’il faudrait une période de grâce, dit Duhs.

« Je ne les vois pas appliquer immédiatement contre les entreprises. Je pense que les transferts de données font partie du commerce international et que cela doit continuer, en particulier dans la crise actuelle où nous avons tous eu tant de pression sur les ressources. Je pense que, vous savez, arrêter soudainement tous les flux de données serait un obstacle énorme pour le commerce », a-t-elle dit.

« Le monde ne va pas s’arrêter, mais les régulateurs encourageront les entreprises à trouver d’autres mécanismes pour transférer leurs données », a déclaré M. Estaran.

« Les entreprises seront sous pression pour justifier à leurs équipes de conformité, à leurs vérificateurs, que leurs opérations sont légales. Ils devront trouver des moyens d’atténuer la confidentialité de leurs données lorsqu’ils transfèrent des données à l’étranger.

La Commission européenne est en train d’élaborer de nouvelles clauses contractuelles standard et est susceptible d’accélérer ce travail si le tribunal trouve des problèmes avec les CSC existants.

Néanmoins, la période de transition peut être difficile pour les entreprises, a déclaré M. Duhs, et prendra inévitablement du temps et des ressources. « À une époque où les entreprises sont aux prises avec les ressources de toute façon, ce serait très malvenu, je pense, et problématique. »

Conséquences pour le Brexit

La décision de la Cour européenne pourrait également avoir des implications pour le Royaume-Uni après le Brexit. Les transferts de données du Royaume-Uni vers l’UE ne seront pas affectés jusqu’en 2024.

La grande question est de savoir si l’UE conclut que le Royaume-Uni offre aux citoyens de l’UE une protection adéquate pour leurs données, en vertu de la loi britannique sur la surveillance, la Loi sur les pouvoirs d’enquête.

Si ce n’est pas le cas, les entreprises devront s’appuyer sur des clauses contractuelles standard pour transférer des données de l’UE vers le Royaume-Uni. « Nous ne saurons pas encore quel sera le résultat de ces négociations », a déclaré M. Duhs.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending