L’Irlande a joué un rôle clé dans la bataille opposant Max Schrems et Facebook. En 2016, la Data Protection Commission (CPD) irlandaise entamait une procédure ayant finalement abouti à la décision de la CJUE du 16 juillet 2020 « Schrems II ». En vertu de ce jugement, la décision Privacy Shield a été invalidée et, tandis que la validité des clauses contractuelles types (CCT) a été confirmée, la loi américaine a été jugée insuffisamment protectrice, rendant ainsi l’utilisation du mécanisme des CCT incertaine.
Néanmoins, la CPD s'est vivement félicitée de cette décision, qu’elle considère comme une approbation de sa position selon laquelle, quel que soit le mécanisme utilisé pour transférer des données vers un pays tiers, la protection accordée aux citoyens européens dans ce pays tiers doit être "essentiellement équivalente" à celle dont ils bénéficient dans l'UE.
La CPD a mis en doute la validité du mécanisme de transfert des CCT utilisé dans les transferts UE-USA. La CPD a déclaré que, si la CJUE a jugé que le mécanisme de transfert des CCT est, en principe, valide, en pratique, son application aux transferts de données à caractère personnel vers les États-Unis est désormais "discutable".
La CPD a l'intention de fournir des éclaircissements et des orientations supplémentaires sur cette question une fois qu’elle aura évalué la décision de la CJUE plus en détail. Cependant, dans l'intervalle, la CPD a envoyé à Facebook Ireland une ordonnance préliminaire pour mettre un terme au transfert de données personnelles de citoyens de l'UE aux États-Unis et a suggéré que les CCT ne puissent être utilisées en pratique pour les transferts de données entre l'UE et les États-Unis. Facebook Ireland a, à son tour, lancé un recours contre cette ordonnance devant la Haute Cour irlandaise par le biais d'une enquête judiciaire. En attendant l'audience dans cette affaire, Facebook a obtenu un sursis à l'exécution de l'ordonnance de la CPD afin que ses transferts de données se poursuivent sans interruption.
La CPD a également été condamnée aux dépens de M. Schrems dans la décision Schrems II. La facture définitive est estimée à plus de 2 millions d'euros.
Pour l'instant, ce qui est certain, ce sont que les organisations qui s'appuient sur le mécanisme des CCT pour transférer des données seront soumises à un examen plus approfondi en ce qui concerne le niveau de protection offert dans le pays tiers. Elles doivent vérifier, avant d'effectuer un transfert et au cas par cas, que le pays tiers offre aux citoyens de l'UE une protection essentiellement équivalente à celle prévue par les lois de l'UE.
Pour les transferts UE-USA, la situation est plus chaotique car il n'existe aucun mécanisme clair. Il est donc urgent que les autorités compétentes aux niveaux national et européen donnent des orientations supplémentaires.
Néanmoins, la CPD s'est vivement félicitée de cette décision, qu’elle considère comme une approbation de sa position selon laquelle, quel que soit le mécanisme utilisé pour transférer des données vers un pays tiers, la protection accordée aux citoyens européens dans ce pays tiers doit être "essentiellement équivalente" à celle dont ils bénéficient dans l'UE.
La CPD a mis en doute la validité du mécanisme de transfert des CCT utilisé dans les transferts UE-USA. La CPD a déclaré que, si la CJUE a jugé que le mécanisme de transfert des CCT est, en principe, valide, en pratique, son application aux transferts de données à caractère personnel vers les États-Unis est désormais "discutable".
La CPD a l'intention de fournir des éclaircissements et des orientations supplémentaires sur cette question une fois qu’elle aura évalué la décision de la CJUE plus en détail. Cependant, dans l'intervalle, la CPD a envoyé à Facebook Ireland une ordonnance préliminaire pour mettre un terme au transfert de données personnelles de citoyens de l'UE aux États-Unis et a suggéré que les CCT ne puissent être utilisées en pratique pour les transferts de données entre l'UE et les États-Unis. Facebook Ireland a, à son tour, lancé un recours contre cette ordonnance devant la Haute Cour irlandaise par le biais d'une enquête judiciaire. En attendant l'audience dans cette affaire, Facebook a obtenu un sursis à l'exécution de l'ordonnance de la CPD afin que ses transferts de données se poursuivent sans interruption.
La CPD a également été condamnée aux dépens de M. Schrems dans la décision Schrems II. La facture définitive est estimée à plus de 2 millions d'euros.
Pour l'instant, ce qui est certain, ce sont que les organisations qui s'appuient sur le mécanisme des CCT pour transférer des données seront soumises à un examen plus approfondi en ce qui concerne le niveau de protection offert dans le pays tiers. Elles doivent vérifier, avant d'effectuer un transfert et au cas par cas, que le pays tiers offre aux citoyens de l'UE une protection essentiellement équivalente à celle prévue par les lois de l'UE.
Pour les transferts UE-USA, la situation est plus chaotique car il n'existe aucun mécanisme clair. Il est donc urgent que les autorités compétentes aux niveaux national et européen donnent des orientations supplémentaires.
The Privacy Shield in Ireland
“The DPC stated that, while the CJEU has ruled that the Standard Contractual Clauses transfer mechanism is, in principle, valid, in practice, its application to transfers of personal data to the United States is now “questionable””.
Ireland has played a key role in the battle between Max Schrems and Facebook. In 2016 the Irish Data Protection Commission (DPC) commenced the proceedings which ultimately resulted in the CJEU “Schrems II” judgment of 16 July 2020. Pursuant to that judgment, the Privacy Shield decision has been invalidated and, while the validity of standard contractual clauses (SCC) has been upheld, US law has been judged as insufficiently protective, thus rendering the use of the SCCs mechanism uncertain.
Nevertheless, the DPC has strongly welcomed this decision, which it views as endorsing its position that whichever mechanism is used to transfer data to a third country, the protection afforded to EU citizens in that third country must be “essentially equivalent” to that enjoyed in the EU.
The DPC has questioned the validity of the SCCs transfer mechanism used in EU-US transfers. The DPC stated that, while the CJEU has ruled that the SCCs transfer mechanism is, in principle, valid, in practice, its application to transfers of personal data to the United States is now “questionable”.
The DPC intends to provide further clarification and guidance on this issue after assessing the CJEU decision in more details. However, in the meantime, the DPC sent Facebook Ireland a preliminary order to stop transferring personal data of EU citizens to the United States and has suggested that SCCs cannot in practice be used for EU-US data transfers. Facebook Ireland has in turn launched a challenge to that order before the Irish High court by way of judicial review. Pending the hearing of this case, Facebook has been granted a stay on the DPC’s order so its data transfers continue uninterrupted.
The DPC has also been ordered to pay Mr Schrems’ legal costs in the Schrems II decision. The final bill is likely to cost in excess of €2m.
For now, what is certain is that organisations who rely on the SCCs mechanism to transfer data will face more scrutiny regarding the level of protection offered in the third country. They must verify, before making a transfer and on a case-by-case basis, that the third country affords EU citizens a protection essentially equivalent to that provided for by EU laws.
For EU-US transfers, the situation is more chaotic as no clear mechanism exists. Further guidance from the relevant authorities at national and EU levels is therefore urgently needed.
Ireland has played a key role in the battle between Max Schrems and Facebook. In 2016 the Irish Data Protection Commission (DPC) commenced the proceedings which ultimately resulted in the CJEU “Schrems II” judgment of 16 July 2020. Pursuant to that judgment, the Privacy Shield decision has been invalidated and, while the validity of standard contractual clauses (SCC) has been upheld, US law has been judged as insufficiently protective, thus rendering the use of the SCCs mechanism uncertain.
Nevertheless, the DPC has strongly welcomed this decision, which it views as endorsing its position that whichever mechanism is used to transfer data to a third country, the protection afforded to EU citizens in that third country must be “essentially equivalent” to that enjoyed in the EU.
The DPC has questioned the validity of the SCCs transfer mechanism used in EU-US transfers. The DPC stated that, while the CJEU has ruled that the SCCs transfer mechanism is, in principle, valid, in practice, its application to transfers of personal data to the United States is now “questionable”.
The DPC intends to provide further clarification and guidance on this issue after assessing the CJEU decision in more details. However, in the meantime, the DPC sent Facebook Ireland a preliminary order to stop transferring personal data of EU citizens to the United States and has suggested that SCCs cannot in practice be used for EU-US data transfers. Facebook Ireland has in turn launched a challenge to that order before the Irish High court by way of judicial review. Pending the hearing of this case, Facebook has been granted a stay on the DPC’s order so its data transfers continue uninterrupted.
The DPC has also been ordered to pay Mr Schrems’ legal costs in the Schrems II decision. The final bill is likely to cost in excess of €2m.
For now, what is certain is that organisations who rely on the SCCs mechanism to transfer data will face more scrutiny regarding the level of protection offered in the third country. They must verify, before making a transfer and on a case-by-case basis, that the third country affords EU citizens a protection essentially equivalent to that provided for by EU laws.
For EU-US transfers, the situation is more chaotic as no clear mechanism exists. Further guidance from the relevant authorities at national and EU levels is therefore urgently needed.
Le Privacy Shield en Suisse -The Privacy Shield in Switzerland (par les experts du réseau PANGEA / by the experts from PANGEA Network)
