Articles

Schrems II : Invalidation du Privacy Shield (CJUE) (1/2)

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Le Privacy Shield UE-US n’offre pas un niveau de protection des données adéquat au sens de l’art. 45 RGPD. En effet, le Privacy Shield permet des dérogations disproportionnées à la protection des données en vue de la surveillance par les services de renseignement américains et n’offre aucun recours effectif aux personnes concernées. La décision d’adéquation correspondante de la Commission est dès lors invalide. Partant, les transferts de données vers les États-Unis ne peuvent valablement reposer sur le Privacy Shield.

Faits

Maximilian Schrems, juriste et activiste néerlandais, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite

La surveillance des télécommunications par les services secrets (CourEDH) (III/III)

CourEDH, 13.09.2018, Affaire Big Brother Watch et autres c. Royaume-Uni, requêtes nos. 58170/13, 62322/14 et 24960/15 (III/III)

La base légale nationale permettant aux services secrets britanniques d’obtenir des données de communications viole le droit de l’UE. Or, le droit communautaire prévaut sur le droit national en cas de conflit. Le régime de surveillance anglais ne satisfait dès lors pas à l’exigence de légalité et viole de ce fait le droit à la vie privée (art. 8 CEDH).

Faits

À la suite des révélations d’Edward Snowden, plusieurs personnes physiques et morales contestent la conformité de la surveillance électronique déployée par les services secrets du Royaume-Uni au droit à la vie privée garanti par la CEDH (art. 8 CEDH).

Après avoir épuisé les voies de droit nationales, les requérants agissent devant la Cour européenne des droits de l’homme.

Dans ce contexte, la CourEDH examine la conventionnalité de trois types de surveillance : (I) l’interception massive de communications ; (II) le partage de renseignements avec les services secrets étrangers ; et (III) l’obtention de données secondaires de communications auprès de fournisseurs de télécoms.

Le présent résumé s’attache au dernier de ces trois types de surveillance.

Les données secondaires de communications permettent de déterminer quels utilisateurs ont communiqués, ainsi que le lieu et le moment des communications (qui, où et quand), à l’exclusion du contenu de ces communications.… Lire la suite