Transfert de données à caractère personnel UE-Etats Unis : nouvel épisode du feuilleton « Privacy Shield » (Réflexions à propos du rapport du Groupe de l’article 29 relatif au premier examen annuel conjoint du Privacy Shield, WP 255)

A l’image des séries télévisées qui tiennent en haleine de nombreux spectateurs durant de nombreuses « saisons », le dernier épisode du feuilleton Privacy Shield ne manquera pas de passionner les analystes s’intéressant à la protection des données à caractère personnel.

Le « Groupe de l’article 29 », constitué sur la base de l’article 29 de la directive 95/46/CE, texte législatif fondamental en matière de protection des données au sein de l’UE, et qui réunit des représentants des différentes autorités nationales de protection des données, vient en effet de publier un rapport sévère relatif au premier examen annuel conjoint du Privacy Shield. Lire la suite

Les crises de l’ELSJ / Las crisis del ELSJ – dir. H. Labayle, J. I. Ugartemendia Eceizabarrena – EUi 12/2017

 

 

Les crises de l’espace de liberté, sécurité, justice / Las crisis del espacio de libertad, seguridad y justicia

dir. H. Labayle, J. I. Ugartemendia Eceizabarrena

EUi 12/2017, 390 p.

Table of Contents : 1/22/2

Surveillance de la correspondance électronique des salariés : un encadrement significatif par la Cour EDH (Réflexions à propos de l’arrêt Barbulescu c. Roumanie)

Surveillance de la correspondance électronique des salariés : un encadrement significatif par la Cour EDH (Réflexions à propos de l’arrêt Barbulescu c. Roumanie)

 

C’est un message fort qu’a adressé la Cour européenne des droits de l’homme aux entreprises privées, s’agissant de la surveillance qu’elles exercent sur la correspondance électronique de leurs salariés dans son arrêt Barbulescu C. Roumanie rendu le 5 septembre 2017 (req. n° 61496). La solution adoptée est appelée à avoir d’autant plus d’écho qu’elle a été rendue par la grande chambre, sur renvoi de l’affaire, après que la chambre saisie ait abouti, le 12 janvier 2016, à un constat de non violation de l’article 8 de la Convention européenne des droits de l’homme (CEDH), relatif à la protection de la vie privée. Lire la suite

Accord PNR UE-Canada : validation par la CJUE du système PNR, des modalités à revoir ! ( réflexions sur l’avis 1/15 de la CJUE, 26 juillet 2017)

La messe est dite ! Le très attendu avis 1/15 de la Cour de Justice de l’Union européenne relatif à l’accord PNR UE-Canada conclut enfin la très longue polémique suscitée par les accords PNR et la directive éponyme 2016/681 de l’UE du 27 avril 2016.

Après plusieurs arrêts historiques mettant au premier plan le droit fondamental à la protection des données (arrêts Digital Rights Ireland Ltd, C-293/12 & C-594/12, 8 avril 2014 et Schrems, C-362/14, 6 octobre 2015), la Cour de Justice, dans un contexte européen marqué par le terrorisme, a choisi la voie du juste milieu et valide ainsi le très controversé système PNR dans son principe – ce qui n’allait pas de soi – tout en censurant un certain nombre de ses modalités de mise en œuvre. C’est ainsi une décision équilibrée qu’elle rend aujourd’hui, dans la logique des conclusions de l’Avocat général Mengozzi (conclusions du 8 septembre 2016, commentées ici-même). Dans la mesure où l’articulation de l’argumentation de la Cour ainsi que son contenu sont pour l’essentiel le reflet de ces conclusions, nous nous arrêterons ici sur quelques réflexions spécifiques sans souci d’exhaustivité, à savoir la validation du système PNR (I) et son encadrement par le juge (II).

Lire la suite

Un coup de parapluie riche de conséquences : l’interdiction réitérée par le juge européen d’un fichage généralisé et indifférencié. Réflexions à propos de l’arrêt de la Cour EDH du 22 juin 2017, Ayçaguer c. France

Les faits à l’origine de l’affaire Ayçaguer c. France (Req. 8806/12) pourraient prêter à sourire s’ils ne révélaient pas un exemple de plus de législations sécuritaires qui érodent lentement mais sûrement les libertés individuelles. La Cour européenne des droits de l’homme (CEDH) qui en a été saisie en profite opportunément pour rappeler, avec constance et clarté, la place éminente qu’occupe le droit à la protection des données personnelles aujourd’hui. Elle formule ce faisant, de façon réitérée, l’interdiction d’un fichage généralisé et indifférencié des personnes, rappel plus que nécessaire semble t-il à l’heure où de nombreuses lois antiterroristes, notamment, mettent en danger partout en Europe ce nouveau droit fondamental.

Lire la suite

Systèmes d’information européens sécurité-immigration : lorsqu’« interopérabilité » ne rime effectivement pas avec « interconnexion »

« Il convient d’exploiter toutes les possibilités offertes par d’éventuelles synergies entre les systèmes d’information nationaux et européens, sur la base de l’interopérabilité ». Ces propos ne datent pas des conclusions du dernier Conseil JAI sur ce thème, celles du 9 juin 2017, mais bien d’une communication de la Commission remontant au mois de mai 2005. La problématique de l’interopérabilité des bases de données JAI est par conséquent tout sauf neuve. Elle revêt néanmoins une acuité particulière à la lumière des efforts axés sur le renforcement de l’efficacité et de l’efficience de la gestion des données dans l’UE. Comme le fait remarquer une étude juridique de mai 2017, le volume des données échangées entre les Etats membres et stockées au sein des systèmes européens d’information s’est accru considérablement depuis les attaques de Paris de 2015.

Lire la suite

Bis repetita…Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques (Réflexions à propos de l’arrêt de la CJUE, 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15).

L’arrêt de la CJUE rendu le 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15) est un véritable coup de tonnerre par rapport aux conclusions contraires de l’Avocat général Saugmandsgaard Øe, commentées ici-même.

Les affaires jointes C-203/15, Tele2Sverige AB/Post-och telestyrelsen et C-698/15, Secretary of State for Home Department/Tom Watson e.a., se présentent comme une nouvelle péripétie de l’historique arrêt Digital Rights Ireland Ltd (C-293/12 et C-594/12, 8 avril 2014), où la Cour de justice de l’UE avait procédé à l’annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques ». Lire la suite

L’accord PNR entre l’Union et le Canada ne respecte pas, en l’état, la Charte des droits fondamentaux de l’UE, réflexions faisant suite aux conclusions de l’avocat général Mengozzi dans la demande d’avis 1/15

 

S’il est un outil, en matière de lutte contre le terrorisme, qui fait couler des flots d’encre depuis des années, et suscite des débats passionnés, c’est bien le système « PNR » (Passenger Name Record), décliné sous forme d’accord avec des Etats tiers (Canada, Etats-Unis, Australie) ou de directive européenne (adoptée enfin en avril dernier après des années de tergiversations).

Il permet aux autorités de recueillir et traiter les données des dossiers des passagers aériens, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels » (§ 176 de l’avis).

Dans l’inépuisable débat entre sécurité et liberté, exacerbé par un contexte terroriste sans précédent et des législations nationales ou européennes de plus en plus nombreuses et potentiellement liberticides pour tenter d’y faire face, les conclusions de l’avocat général Mengozzi quant à la demande d’avis formulé par le Parlement européen à la Cour de justice s’agissant de l’accord PNR UE/Canada, revêtent une importance capitale. Ces conclusions, si elles condamnent en l’état la conclusion de l’accord PNR, le font au prix d’une argumentation extrêmement détaillée qui ne porte pas aux jugements à l’emporte pièce. Lire la suite

Protection des données : l’obligation générale de conservation des données est compatible avec le droit de l’Union

La spectaculaire annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques », par la Cour de justice de l’UE dans la désormais célèbre affaire Digital Rights Ireland Ltd (C-293/12  et C-594/12, 8 avril 2014) provoque, plus de deux ans après, de nouvelles conséquences, importantes et riches de potentialités. Ce sont les conclusions de l’Avocat général Saugmandsgaard Øe, dans les affaires jointes C-231/15 Tele2Sverige AB/Post-och telestyrelsen et C-698/15 Secretary of State for Home Department/Tm Watson e.a., qui fournissent aujourd’hui matière à réflexion. Lire la suite

La sécurité digitale à l’heure des crises migratoire et terroriste, le noeud gordien de l’interconnexion des fichiers

La situation que connaît actuellement l’Union européenne n’aura échappé à personne. Qu’il s’agisse de la crise migratoire ou de la crise terroriste générée par les attentats à répétition en 2015 et en 2016, le remède préconisé par les États membres par la voix du Conseil et du Conseil européen, consiste à vouloir sécuriser davantage les frontières extérieures de l’Union européenne.

La protection renforcée de celles-ci constitue l’enjeu majeur de la lutte menée contre le phénomène terroriste, dont l’agenda converge désormais clairement avec la politique européenne en matière migratoire, comme l’atteste la communication de la Commission du 6 avril 2016 intitulée « des systèmes d’information plus forts et plus intelligents pour les frontières et la sécurité ». Le texte affirme à cet égard très clairement une « interconnexion dynamique » entre police, migration et gestion des frontières. Lire la suite