Articles

Schrems II : Invalidation du Privacy Shield (CJUE) (1/2)

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Le Privacy Shield UE-US n’offre pas un niveau de protection des données adéquat au sens de l’art. 45 RGPD. En effet, le Privacy Shield permet des dérogations disproportionnées à la protection des données en vue de la surveillance par les services de renseignement américains et n’offre aucun recours effectif aux personnes concernées. La décision d’adéquation correspondante de la Commission est dès lors invalide. Partant, les transferts de données vers les États-Unis ne peuvent valablement reposer sur le Privacy Shield.

Faits

Maximilian Schrems, juriste et activiste néerlandais, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite

La protection des données de tiers impliqués dans une procédure d’assistance administrative en matière fiscale

TAF, 03.09.2019, A-5715/2018

Les tiers qui ne sont pas formellement visés par la demande d’assistance administrative en matière fiscale doivent néanmoins être informés par l’AFC de l’existence de la procédure aussitôt que celle-ci envisage de transmettre à l’État étranger des données les concernant.

Faits

En matière d’assistance administrative fiscale avec l’Internal Revenue Service (IRS), l’Administration fédérale des contributions (AFC) procède à la transmission de données de personnes non formellement concernées sans les en informer au préalable.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est avisé de cette pratique. Il adresse à l’AFC une recommandation quant au devoir d’informer les tiers indirectement concernés de l’existence de la procédure (cf. art. 27 al. 4 LPD). L’AFC ne suit pas cette recommandation, soutenant que l’information des tiers serait incompatible avec une procédure d’assistance efficace, et donc avec les obligations internationales de la Suisse. Le PFPDT porte l’affaire au Département fédéral des finances (DFF) (cf. art. 27 al. 5 LPD), lequel confirme la pratique de l’AFC de ne pas informer les tiers avant la transmission des renseignements à l’IRS (Décision du DFF du 20 septembre 2018).… Lire la suite