Lettre ouverte sur l'avenir des transferts de données entre l'UE et les États-Unis
Bien que de nombreux détails ne soient pas encore clairs, de plus en plus de détails sur l'accord prévu entre l'UE et les États-Unis en matière de transfert de données sont apparus. Ces détails semblent soulever davantage de questions quant à la stabilité de tout nouvel accord d'adéquation par la Commission européenne. A la lumière de ces développements inquiétants, le plaignant principal dans les affaires "Schrems I" et "Schrems II" a envoyé la lettre ouverte suivante (PDF) aux parties prenantes concernées :
Cher Commissaire Didier Reynders,
Chère Secrétaire Gina Raimondo,
Chère Pauline Dubarry,
Chère Andrea Jelinek, présidente de l'EDPB,
Cher président de la LIBE Juan Fernando López Aguilar,
Nous prenons note de l'annonce d'un accord de principe pour un nouveau cadre transatlantique de protection des données personnelles. Nous comprenons que le futur accord " de principe " repose principalement sur un accord politique entre la présidente de la Commission, Mme von der Leyen, et le président des États-Unis, M. Joe Biden, mais qu'il ne résulte pas de changements matériels apportés à la législation américaine en réponse à l'arrêt de la CJUE. Cette approche semble répéter l'accord " Privacy Shield " et est profondément préoccupante.
Nous sommes conscients que l'annonce ne présente que des idées et des titres approximatifs, mais que le texte final doit encore être négocié. Les observations préliminaires suivantes sont donc basées sur l'annonce politique limitée et les détails supplémentaires qui ont été partagés de manière informelle avec les parties prenantes dans divers formats publics ou semi-publics par l'UE et les États-Unis.
Sur la base de ces déclarations, nous comprenons que les États-Unis ont rejeté toute protection matérielle pour les personnes non américaines et qu'ils continuent de faire preuve de discrimination à leur égard en refusant les protections de base, telles que l'approbation judiciaire des mesures de surveillance individuelles
Nous comprenons que l'accord envisagé reposera en grande partie sur des décrets américains. Ayant travaillé sur cette question avec des experts en surveillance et des avocats américains, ces décrets semblent structurellement insuffisants pour répondre aux exigences de la CJUE.
Sur la base des pierres angulaires connues, nous avertissons les négociateurs des deux côtés de l'Atlantique, le Conseil de l'UE, l'EDPB et la Commission LIBE du Parlement européen que le cadre annoncé risque de partager le même sort que ses deux prédécesseurs devant la CJUE à moins que des réformes (législatives) substantielles ne soient menées aux États-Unis
Nous appelons les négociateurs à continuer à œuvrer en faveur d'une solution durable et préservant la vie privée pour les flux transatlantiques afin d'éviter une décision "Schrems III". L'approche actuelle risque d'entraîner une plus grande incertitude juridique pour les citoyens et les entreprises dans les années à venir - une crainte qui a également été exprimée par les représentants du secteur en réaction à l'"accord de principe".
Nous sommes pleinement conscients qu'il ne s'agit pas d'une tâche aisée, mais l'investissement nécessaire pour bien faire les choses permettrait non seulement de résoudre cette question à long terme, mais aussi de profiter aux citoyens et à l'économie des deux côtés.
Pour atteindre cet objectif, nous présentons les observations et recommandations plus détaillées suivantes :
(1) Appliquer un test de proportionnalité correct à la loi de surveillance américaine en vertu de l'article 8 du CFR
Nous comprenons que les négociateurs américains ne prévoient pas de chercher à modifier la législation américaine en matière de surveillance matérielle, mais prévoient essentiellement de remplacer la directive présidentielle 28 (PPD-28) sur les activités de renseignement sur les transmissions par un nouveau décret qui inclurait les termes "nécessaire et proportionné"
Il semble que la Commission européenne cherche à déterminer que ces mots dans un décret américain doivent être considérés comme équivalents au test de proportionnalité de l'UE dans l'article 52 de la Charteer des droits fondamentaux (CFR)
Cependant, il est difficile de voir comment la surveillance américaine existante peut être "nécessaire et proportionnée" en vertu du droit européen si la CJUE a explicitement conclu le contraire dans deux arrêts
Cette approche semble insuffisante pour au moins les raisons suivantes :
- Dans les deux arrêts de la CJUE ("Schrems I" et "Schrems II"), la Cour a clairement affirmé que les lois et pratiques de surveillance américaines violent les articles 7, 8 et 47 de la Charte des droits fondamentaux. La CJUE a même explicitement estimé que ces lois et pratiques n' étaient pas "nécessaires et proportionnées"
- L'arrêt "Schrems II" a été rendu en tenant compte de la PPD28 (qui était la directive exécutive pertinente à l'époque). Comme la Commission européenne et le gouvernement américain l'ont fait valoir devant la CJUE, la PPD-28 comprend déjà la formulation "aussi adaptée que possible", que la Commission a interprétée comme équivalente à la proportionnalité en vertu de l'article 52 CFR. La CJUE a rejeté cette idée. Nous ne voyons pas comment des lois et des pratiques que la CJUE a explicitement jugées non "nécessaires et proportionnées" pourraient soudainement convaincre la CJUE si elles sont réétiquetées "nécessaires et proportionnées" au lieu de "aussi adaptées que possible".
- Nous comprenons que, bien que les États-Unis puissent adopter ces termes, ils n'ont pas accepté de limiter la surveillance des personnes concernées non américaines d'une manière significative. Plus précisément, les États-Unis n'ont pas annoncé leur intention de limiter ou de réviser les pratiques de surveillance menées dans le cadre des lois et programmes (FISA 702, EO 12,333, "PRISM" et "Upstream") spécifiquement mentionnés par la CJUE dans son arrêt. Les États-Unis n'ont pas non plus indiqué qu'ils procéderaient à des changements pour mettre fin à leurs pratiques de surveillance massive . Les programmes de surveillance semblent se poursuivre tels quels. La CJUE a effectué un test de proportionnalité en vertu de l'article 52 du CFR et a conclu que les pratiques de surveillance américaines n'ont pas passé ce test. Si les États-Unis devaient intégrer le concept de"nécessité et proportionnalité", cela signifierait l'arrêt ou la limitation sévère de ces pratiques de surveillance. Les négociateurs sont clairs sur le fait que cela n'est pas prévu.
- Les négociateurs semblent donc se contenter de copier les termes de la jurisprudence du CFR et de la CJUE dans un décret américain, mais ils appliqueront probablement un sens différent de celui de la CJUE, car cela devrait sinon conduire à l'arrêt des programmes Upstream et Downstream (anciennement "PRISM") en vertu de la section 702 de la loi sur la surveillance du renseignement étranger (FISA), et à la fin de la surveillance de masse en vertu du décret 12.333.
- Nous sommes également préoccupés par le fait que les décrets ne confèrent généralement pas de droits aux tiers. Il semble que même si un critère de "nécessité et de proportionnalité" conforme à l'article 52 CFR était mis en œuvre dans un décret, aucune personne concernée ne pourrait faire valoir ces limitations devant un tribunal.
En résumé, cette approche semble simplement satisfaire les exigences politiques, diplomatiques et de relations publiques des deux parties, mais semble ignorer le fait que la CJUE a déjà estimé que la surveillance américaine n'est pas "nécessaire et proportionnée" et que les États-Unis poursuivront ces pratiques.
(2) Créer un recours judiciaire significatif au titre de l'article 47 du CFR
Nous comprenons que les négociateurs américains ne prévoient pas de modifier la loi américaine pour créer des voies de recours judiciaire pour les personnes concernées de l'UE
Au lieu de cela, l'exécutif américain devrait créer un nouvel "organe" au sein de l'exécutif (similaire à l'ancien "Ombudsperson" mais sous l'autorité de l'avocat général) qui traitera des violations potentielles de la loi américaine et des décrets. Cet organe appelé "Cour de révision de la protection des données" ne sera pas - contrairement à son nom - une "Cour" mais un organe exécutif. Il fera partie du pouvoir exécutif, avec une indépendance limitée
Nous comprenons que les personnes concernées de l'UE ne seront pas en mesure d'accéder aux informations sur les opérations de surveillance potentielles les concernant au cours de la procédure et qu'elles ne pourront pas faire appel des décisions de cette "Cour" auprès d'un organe judiciaire totalement indépendant établi en vertu de l'article 3 de la Constitution américaine
Cette approche semble violer la jurisprudence de la CJUE au moins sur l'aspect suivant :
- La solution proposée ne prévoit pas de recours judiciaire , mais un organe derecours au sein de l'exécutif - semblable au médiateur, que la CJUE a jugé non seulement disproportionné, mais contraire à l'essence de l'article 47 CFR. Le simple fait de nommer un organe exécutif "Cour" ne crée pas de recours judiciaire. L'approche semble être mieux décrite comme un "Ombudsman Plus".
- Il est difficile de voir comment ce nouvel organe remplirait les exigences formelles d'une cour ou d'un tribunal en vertu de l'article 47 du CCR, surtout si on le compare aux affaires en cours et aux normes appliquées au sein de l'UE (par exemple en Pologne et en Hongrie). Il serait demandé à la CJUE d'appliquer une norme "élevée" de l'article 47 CFR au sein de l'UE, mais une norme "faible" de l'article 47 CFR pour une "Cour de révision de la protection des données" américaine. Ce serait la Commission européenne qui devrait convaincre la CJUE de l'existence de ces différentes normes au titre de l'article 47 CFR.
- Nous comprenons que cettenous comprenons que cette nouvelle "Cour" continuera à fonctionner comme l'actuel "Ombudsperson" et qu'elle ne confirmera ni n'infirmera si une personne a été soumise à une surveillance et s'il y a eu une violation de la loi américaine. Nous croyons savoir que la personne concernée n'aura pas la possibilité, directe ou indirecte, de consulter les preuves, de demander des documents, d'interroger l'adversaire ou de recevoir un jugement motivé . Il s'agira donc d'une institution "d'approbation automatique", sans pertinence pratique.
- Cette approche limitera également les possibilités d'appel auprès d'une instance secondaire : Si la "Cour de révision de la protection des données" est tenue d'envoyer une réponse standard prescrite, nous ne voyons pas comment il serait possible de faire un appel matériel éclairé et significatif. S'il n'y a qu'un seul résultat prédéfini possible dans chaque cas, il semble qu'il n'y ait pratiquement aucun cas où un citoyen puisse soulever une erreur, puisqu'il ne semble y avoir qu'une seule réponse possible.
- Des questions fondamentales se posent quant à savoir si les doctrines américaines telles que le " secrets d'État " s'appliqueront à ces organes et limiteront davantage toute possibilité d'audience équitable. Nous comprenons que le gouvernement américain continuera à s'appuyer sur ces doctrines.
En résumé, nous ne voyons pas comment cette nouvelle "Cour" serait conforme à l'article 47 du CFR, en particulier à la lumière de la jurisprudence récente de la CJUE sur la surveillance américaine, mais aussi à la lumière de la jurisprudence de la CJUE sur le recours judiciaire et l'État de droit dans les États membres de l'UE. Il semble que la CJUE devrait développer un test distinct de l'article 47 CFR pour les États-Unis, afin de déterminer qu'un organe exécutif produisant des réponses automatiques constitue effectivement une forme de recours judiciaire. Nous ne voyons pas comment une telle évolution de la jurisprudence de la CJUE est un tant soit peu réaliste ou même souhaitable.
(3) La nécessité de mettre à jour les protections commerciales de la vie privée
Outre les lacunes de l'accord de principe annoncé liées à l'absence de réformes sur la surveillance américaine et les loisnous mettons également en garde les négociateurs de l'UE contre la nécessité d'actualiser les obligations en matière de protection des données commerciales dans le cadre de tout accord futur.
Nous sommes préoccupés par le fait que les négociateurs européens et américains ne semblent pas prévoir de mise à jour des principes du bouclier de protection de la vie privée. Nous avons cru comprendre que les principes et les certifications du bouclier de protection de la vie privée ne seraient pas modifiés, ni même renommés. Cela est extrêmement problématique, car les principes sont largement basés sur les principes de la "sphère de sécurité" de 2000, avec seulement des mises à jour mineures en 2016. Ils ne sont pas conformes aux exigences du GDPR, qui est devenu applicable en 2018. En fait, les principes du bouclier de confidentialité font même référence à la directive 95/46/CE, qui n'est plus applicable depuis longtemps, et non au GDPR
Nous soulignons ici quelques exemples de certaines des nombreuses lacunes des principes du bouclier de protection de la vie privée et des points sur lesquels ils s'écartent du GDPR :
- Les principes du bouclier de protection de la vie privée ne prévoient pas l'exigence générale d'une base juridique, comme le prévoient l'article 6(1) du GDPR et l'article 8(2) de la Chartes des droits fondamentauxde la Charte des droits fondamentaux. En fait, il n'y a qu'une approche dite de "notification et choix" avec un droit de rejet (opt-out). En particulier parce que les principes s'appliquent généralement aux sous-traitants secondaires, sans contact direct avec une personne concernée, il semble qu'il n'y ait guère de scénario réaliste dans lequel une personne concernée serait même informée d'un traitement problématique.
- Les principes du bouclier de protection de la vie privée n'exigent pas que le traitement des données soit "nécessaire", comme l'exigent l'article 5, paragraphe 1, point c), du GDPR et l'article 52, paragraphe 1, du CFR, mais seulement "pertinent".
- La plupart des éléments du droit d'accès prévu à l'article 15 du GDPR et à l'article 8, paragraphe 2, du charter des droits fondamentaux ne sont pas reflétés dans les principes du bouclier de protection de la vie privée.
- Le mécanisme de recours prévu par lesle mécanisme de recours prévu par les principes repose sur l'arbitrage privé, un système qui est interdit pour les consommateurs dans l'UE depuis la directive 93/13/CEE. Les services d'arbitrage privé sont payés par la société américaine et ne disposent pas des mécanismes de "surveillance et de détection" nécessaires ni de pouvoirs qui ressemblent, même de loin, aux pouvoirs des autorités de surveillance de l'UE en vertu de l'article 58 du GDPR. De multiples étapes sont nécessaires pour qu'une décision d'arbitrage soit réellement exécutoire en vertu du droit américain.
Il existe d'innombrables autres exemples où les principes du Privacy Shield ne sont pas "essentiellement équivalents" au GDPR et permettent donc aux concurrents américains d'opérer sur le marché européen, sans se conformer au droit européen. Même si les problèmes de surveillance américaine étaient résolus, tout nouvel accord pourrait être invalidé par la CJUE au motif que les principes du Privacy Shield ne sont pas du tout "essentiellement équivalents" au GDPR.
L'avenir des transferts internationaux de données
Nous sommes désolés de constater que les négociateurs n'ont pas profité de cette occasion pour garantir que les droits de l'homme à la vie privée et à la protection des données soient protégés des deux côtés de l'Atlantique, indépendamment de la situation géographique ou de la citoyenneté. Nous sommes profondément convaincus qu'un internet mondial et la libre circulation des données personnelles ne sont possibles que si les protections ne sont pas basées sur des concepts historiques et nationalistes, tels que la citoyenneté. Alors que le GDPR et les articles 7, 8 et 47 CFR sont des droits de l'homme et s'appliquent à tout utilisateur, indépendamment des liens nationaux, FISA 702 et les ordres exécutifs pertinents aux États-Unis continuent de suivre une idée archaïque de "personnes américaines" et de "personnes non américaines".
Cela n'entraîne pas seulement des violations des droits de l'homme, mais semble également saper les objectifs supposés de ces lois de surveillance : Nous savons que la plupart des dangers actuels (tels que le terrorisme d'origine intérieure, l'espionnage et autres) ne sont pas basés sur la citoyenneté de la cible.
Nous appelons les négociateurs et les autres acteurs concernés, y compris l'industrie technologique américaine, à remettre en question les concepts nationalistes traditionnels. Si l'internet ne doit pas connaître de frontières nationales, nos droits à la vie privée et nos lois de surveillance doivent également dépasser les concepts nationalistes. Des accords internationaux entre nations démocratiques pourraient être une solution.
Le chapitre 5 du GDPR autorise déjà la libre circulation des données - si les protections sont "essentiellement équivalentes". Nous regrettons que les lois nationales de surveillance aux États-Unis et dans l'UE s'accrochent encore à des concepts tels que la citoyenneté et manquent jusqu'à présent de clauses d'interopérabilité modernes.
Ce conflit entre les protections de la vie privée (interopérables) et les lois de surveillance (nationalistes) entrave les flux de données internationaux, le commerce et la convergence.
Réaction à toute nouvelle décision d'adéquation
Comme notre action en justice vise toujours à garantir une solution durable qui protège les données des utilisateurs et permet la libre circulation des données, nous serions les premiers à applaudir un tel résultat. Nous espérons toujours que tout texte final pourra surmonter les lacunes soulignées dans cette lettre et nous encourageons les négociateurs des deux côtés de l'Atlantique à faire avancer les réformes indispensables de la législation américaine.
En l'absence de ces changements législatifs, nous craignons que tout accord futur ne soit (à nouveau) fondé sur des espoirs politiques plutôt que sur des réalités juridiques. Nous sommes particulièrement préoccupés par le fait que la Commission européenne puisse sciemment adopter une autre décision d'adéquation illégale dans le but de saper les jugements de la CJUE. C'est ce que l'on appelle souvent "acheter quelques années de plus". Cela peut non seulement conduire à un ping-pong sans fin entre Bruxelles et Luxembourg, mais aussi menacer la confiance dans l'État de droit et le CCR au niveau européen.
A la lumière de ce qui précède, noyb est prête à contester toute décision finale d'adéquation qui ne fournirait pas la sécurité juridique nécessaire. Si un tel litige est effectivement nécessaire, nous nous concentrerons particulièrement sur une voie rapide et efficace vers la CJUE afin d'obtenir une décision rapide. Nous espérons que cela garantira une période plus courte d'incertitude juridique dans le cas d'un accord politique mal conçu
Un tel défi peut inclure une demande à la CJUE de suspendre l'application de toute troisième version d'une décision d'adéquation américaine. Une telle option est prévue à l'article 278 du TFUE et pourrait garantir que la Commission européenne ne sape pas la CJUE en adoptant d'autres décisions d'adéquation illégales dans le but de devancer l'examen de ces dernières par la CJUE.
Nous espérons que ces observations préliminaires vous seront utiles. Nous sommes à votre disposition si vous avez des questions ou si vous souhaitez nous fournir des précisions sur la nouvelle donne envisagée.
Nous vous prions d'agréer, Madame, Monsieur, l'expression de nos sentiments distingués,
Max Schrems
Président d'honneur, noyb
Cordialement,
Max Schrems
Président d'honneur, noyb