Articles

Schrems II : Invalidation du Privacy Shield (CJUE) (1/2)

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Le Privacy Shield UE-US n’offre pas un niveau de protection des données adéquat au sens de l’art. 45 RGPD. En effet, le Privacy Shield permet des dérogations disproportionnées à la protection des données en vue de la surveillance par les services de renseignement américains et n’offre aucun recours effectif aux personnes concernées. La décision d’adéquation correspondante de la Commission est dès lors invalide. Partant, les transferts de données vers les États-Unis ne peuvent valablement reposer sur le Privacy Shield.

Faits

Maximilian Schrems, juriste et activiste néerlandais, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite

La transmission au DoJ de données personnelles déjà remises au fisc américain lors d’auto-dénonciations

TF, 23.11.2017, 4A_390/2017

Indépendamment de l’éventuelle transmission de ses données par les contribuables américains concernés dans le cadre de procédures d’auto-dénonciation (voluntary disclosure), la gestionnaire de comptes américains a un intérêt (art. 59 al. 2 let. a CPC) à interdire la transmission de ses informations par la banque suisse dans le cadre du programme américain. La transmission des données n’est pas indispensable à la sauvegarde d’un intérêt prépondérant (art. 6 al. 2 let. d LPD) lorsque les données visées ont déjà été communiquées aux autorités fiscales américaines dans le cadre de procédures de voluntary disclosure.

Faits

Dans le cadre du Joint Statement de 2013 destiné à mettre un terme au contentieux fiscal américain impliquant des banques suisses, une banque décide de participer au programme américain avec l’autorité fiscale américaine (IRS) et le Département fédéral de la justice des Etats-Unis (DoJ) dans la catégorie 2, ce qui signifie qu’elle estime avoir violé le droit américain. Les banques de catégorie 2 sont notamment tenues de communiquer au DoJ le nom et la fonction de toute personne ayant été en relation avec un Closed US Related Account, y compris le gestionnaire d’actifs (liste II.D.2).… Lire la suite

L’invalidation du Safe Harbor (arrêt Facebook)

CJUE, aff. C-362/14, ECLI:EU:C:2015:650 (Schrems)

Faits

Le réseau social Facebook transfère tout ou partie des données personnelles de ses utilisateurs (noms, prénoms, photos, mots de passe…) vers des serveurs situés aux Etats-Unis. Maximilien Schrems, ressortissant autrichien et utilisateur de Facebook, estime que le droit américain n’offre pas une protection suffisante de ses données personnelles et demande aux autorités irlandaises d’interdire leur transfert depuis l’UE vers les Etats-Unis. L’autorité de protection des données irlandaise s’estime incompétente pour vérifier une telle requête dès lors qu’elle estime que la Décision 2000/520 de la Commission européenne l’en empêcherait.

Saisie d’un recours par Schrems, la High Court irlandaise décide de sursoir à statuer et pose à la CJUE la question de savoir si les autorités nationales peuvent examiner la légalité d’un transfert de données vers les Etats-Unis.

Droit

Selon l’art. 25 par. 1 de la Directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données (ci-après la Directive 95/46), « le transfert vers un pays tiers de données à caractère personnel […] ne peut avoir lieu que si […] le pays tiers en question assure un niveau de protection adéquat ». L’examen du niveau de protection adéquat s’examine au regard de l’ensemble des circonstances du transfert des données (art.Lire la suite