• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

Emmanuel Pernot

Data Protection - Europe, US, Chine

  • Asie
  • États-Unis
  • Europe
  • – Contactez-moi –

Schrems contre Facebook : les Clauses Contractuelles Types en question

15 octobre 2017 by Emmanuel Pernot-Leplay

Le 3 octobre 2017, la Haute Cour Irlandaise a indiqué son intention de poser à la Cour de Justice de l’Union Européenne une question préjudicielle sur la validité des Clauses Contractuelles Types (CCT) de la Commission Européenne. Ces clauses servent à l’export des données personnelles recueillies en dans l’Espace Économique Européen (EEE) vers un pays tiers.

Par cette décision, la Haute Cour reconnaît qu’il existe de « bonnes raisons de penser que  [les Clauses Contractuelles Types] sont invalides, » et qu’il faut donc en référer à la CJUE pour assurer une application uniforme de la Directive sur la Data Protection dans l’UE (paragraphe 338 du jugement).

Contents

  • Le contexte
  • L’affaire
    • En quelques mots
    • En détail
      • Les faits
      • La décision
  • Les conséquences
    • Pour les Clauses Contractuelles Types et le Privacy Shield
    • Pour les entreprises

Le contexte

Maximillian Schrems contre Facebook, acte 2. C’est déjà un recours de Max Schrems contre Facebook qui avait eu pour conséquence la fin du Safe Harbor.

Les Clauses Contractuelles Types (EU Standard Contractual Clauses en anglais) servent au transfert de données entre un exportateur de données présent dans l’EEE et un importateur de données hors-EEE. Par ces clauses, ledit importateur s’engage à respecter les standards européens en data protection. Elles ont été approuvées par la Commission Européenne (Décision 2010/87/EU du 5 février 2010).

L’affaire

En quelques mots

Les données de Max Schrems sont transférées aux États-Unis par Facebook Ireland Ltd. Il se plaint de n’avoir aucun recours si une agence gouvernementale y accède pour des raisons de surveillance. Facebook soutient que les transferts respectent les engagements des Clauses Contractuelles Types.

Le Data Protection Commissioner (DPC) irlandais – équivalent de la CNIL –  reconnaît le problème d’absence de recours. La Haut Cour de Justice irlandaise acquiesce et pose une question préjudicielle à la CJUE, pour garantir l’harmonie de la réponse en Europe. La CJUE doit maintenant évaluer la validité des clauses.

En détail

Les faits

Maximillian Schrems soutient auprès du DPC que Facebook transfère ses données aux États-Unis pour traitement.

Pour ce transfert vers un pays tiers, les États-Unis en l’espèce, ce pays doit disposer de protections des données personnelles d’un niveau équivalent à celui existant dans l’EEE. La Commission Européenne n’a pas reconnu les États-Unis comme disposant d’un niveau de protection adéquat. Les entreprises doivent donc s’appuyer sur d’autres mécanismes pour effectuer ces transferts de données personnelles. Comme par exemple les Clauses Contractuelles Types.

Schrems soutient que ses droits à la protection des données personnelles ne sont pas respectés par Facebook. Pour lui, les CCT ne donnent pas la Data Protection nécessaire, notamment en raison des programmes de surveillance américains. Il demande le respect de ses droits à la vie privée et à la protection de ses données personnelles (articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne). Mais aussi son droit à un recours effectif devant une juridiction (article 47 de la Charte).

Facebook soutient que les transferts de données respectent les Clauses Contractuelles Types, qui ont été validées par la Commission Européenne (Décision 2010/87/EU du 5 février 2010).

La décision

Le DPC estime que Schrems expose des arguments pertinents. Il semble difficile pour un Européen de bénéficier d’un recours effectif aux États-Unis au cas où y sont transférées ses données personnelles. Notamment en cas d’accès à ces données par une agence gouvernementale pour des raisons de sécurité nationale.

Les Clauses Contractuelles Types ne prennent pas en compte ce problème. Elles n’apportent aucun droit à un quelconque recours dans ce cas.

Le DPC s’est donc porté devant la Haute Cour de Justice irlandaise qui a rejeté l’argumentation de Facebook, et pose une question préjudicielle à la CJUE (à l’écriture de ces lignes, la question doit encore être formulée). Il revient donc maintenant à la Cour de Justice de l’Union Européenne d’évaluer la validité des clauses. Pour lire la décision, cliquez-ici (en anglais).

Les conséquences

Dans une déclaration transmise à l’AFP, Facebook a estimé que la CJUE doit maintenant « apprécier l’évidente robustesse des protections mises en place dans le cadre des Clauses contractuelles types et de la loi américaine avant de prendre une décision qui pourrait mettre en danger les transferts de données ».

Cela ne semble pourtant pas évident.

Pour les Clauses Contractuelles Types et le Privacy Shield

En 2016, Annabelle Richard, associée Pinsent Masons, estimait déjà dans une tribune que l’invalidation des Clauses Contractuelles Types « n’est qu’une question de temps. » Quoiqu’il en soit, la réponse de la CJUE n’arrivera pas avant plusieurs mois.

La question des Clauses Contractuelles Types est ici liée à celle du Privacy Shield, le transfert étant à destination des États-Unis. Cependant, la décision n’a pas pour effet d’invalider ni les CCT ni le Privacy Shield, ni de suspendre l’un ou l’autre. Le problème du Privacy Shield est qu’il n’accorde pas toutes les protections contenues dans le GDPR. Une entreprise américaine n’a pas besoin d’être en parfaite conformité GDPR pour transférer des données vers les USA. Mais pour combien de temps ?

Pour les entreprises

Une invalidation brutale des CCT aurait de sérieuses conséquences sur les entreprises américaines et européennes. L’accès au marché d’un côté, et l’accès aux services de l’autre, sont vitaux.

Néanmoins, seuls les fournisseurs de services de communication électroniques américains sont concernés. Ce sont les seules entreprises, dont font partie les fournisseurs de services cloud, soumises aux US surveillance laws, qui posent problème en l’espèce.

La décision de la CJUE devra être étudiée attentivement.

Pour accéder à cette décision, cliquez-ici.

5 / 5 ( 2 votes )

Filed Under: Droit, États-Unis, Europe Tagged With: Clauses Contractuelles Types, Privacy Shield, Transfert de Données, Union Européenne

LinkedIn


Primary Sidebar

  • frFrançais
    • enEnglish (Anglais)

À Propos

Emmanuel Pernot,
Consultant, Doctorant en droit spécialisé en protection des données personnelles (Shanghai Jiao Tong University), je livre ici mes opinions et commentaires.

Profil LinkedIn

Besoin d’aide ?

Envoyez-moi un message, je vous réponds sans délai.
*

Pour vous répondre, uniquement.

*
CAPTCHA image

Ceci permet d'éviter les spams.

Retrouvez-moi via :

  • Adresse mail
  • LinkedIn
  • Flux RSS
  • Twitter

Derniers Articles

Portabilité des données dans le RGPD

Le droit à la portabilité des données dans le RGPD

Protection des données personnelles en Chine

Un RGPD en Chine avant 2023 ?

Loi sur la cybersécurité chinoise : Protection des données personnelles

Schrems contre Facebook : les Clauses Contractuelles Types en question

L’essentiel à savoir pour faire sa mise en conformité GDPR (RGPD)

Contents

  • Le contexte
  • L’affaire
    • En quelques mots
    • En détail
      • Les faits
      • La décision
  • Les conséquences
    • Pour les Clauses Contractuelles Types et le Privacy Shield
    • Pour les entreprises

Newsletter par Email

Un email par semaine maximum.

Footer

  • frFrançais
    • enEnglish (Anglais)

Articles récents

  • Le droit à la portabilité des données dans le RGPD
  • Un RGPD en Chine avant 2023 ?
  • Loi sur la cybersécurité chinoise : Protection des données personnelles
  • Schrems contre Facebook : les Clauses Contractuelles Types en question
  • L’essentiel à savoir pour faire sa mise en conformité GDPR (RGPD)

Informations

  • Mentions légales
  • Protection des données personnelles
  • Besoin d’aide ?

© 2019 · epernot.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Cookies settings

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.

Nécessaire Toujours activé

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Non nécessaire

Le site n'utilise plus de cookie non nécessaire. Les fonctionnalités "Google Analytics Advertising Features" de Google Analytics ne sont pas activées.

  • Facebook
  • Twitter
  • Google Plus
  • LinkedIn