La Cour déclare invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées 

ORIGINAL PUBLISHED ON CJEU SITE
(EMPHASIZED BY ME)

COMMUNIQUE DE PRESSE n° 117/15 Luxembourg, le 6 octobre 2015 Arrêt dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner

Alors que la Cour est seule compétente pour déclarer l’invalidité d’un acte de l’Union, les autorités nationales de contrôle, saisies d’une demande, peuvent, même en présence d’une décision de la Commission constatant qu’un pays tiers offre un niveau de protection adéquat des données personnelles, examiner si le transfert des données d’une personne vers ce pays respecte les exigences de la législation de l’Union relative à la protection de ces données ainsi que saisir les juridictions nationales, au même titre que la personne concernée, afin qu’elles procèdent à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision La directive sur le traitement des données à caractère personnel1 dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.
Toujours selon la directive, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. Enfin, la directive prévoit que chaque État membre désigne une ou plusieurs autorités publiques chargées de surveiller l’application, sur son territoire, des dispositions nationales adoptées sur le fondement de la directive (« autorités nationales de contrôle »).
M. Maximillian Schrems, un citoyen autrichien, utilise Facebook depuis 2008. Comme pour les autres abonnés résidant dans l’Union, les données fournies par M. Schrems à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des ÉtatsUnis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des ÉtatsUnis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays.
L’autorité irlandaise a rejeté la plainte, au motif notamment que, dans sa décision du 26 juillet 20002 , la Commission a considéré que, dans le cadre du régime dit de la « sphère de sécurité » 3 , les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées. Saisie de l’affaire, la High Court of Ireland (Haute Cour de justice irlandaise) souhaite savoir si cette décision de la Commission a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.
Dans son arrêt de ce jour, la Cour estime que l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la Charte des droits fondamentaux de l’Union européenne et de la directive. La Cour souligne à cet égard le droit à la protection des données à caractère personnel garanti par la Charte ainsi que la mission dont sont investies les autorités nationales de contrôle en vertu de cette même Charte. 
 
La Cour considère tout d’abord qu’aucune disposition de la directive n’empêche les autorités nationales de contrôler les transferts de données personnelles vers des pays tiers ayant fait l’objet d’une décision de la Commission. Ainsi, même en présence d’une décision de la Commission, les autorités nationales de contrôle, saisies d’une demande, doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive.
Néanmoins, la Cour rappelle qu’elle est seule compétente pour constater l’invalidité d’un acte de l’Union, tel qu’une décision de la Commission.
Par conséquent, lorsqu’une autorité nationale ou bien la personne ayant saisi l’autorité nationale estime qu’une décision de la Commission est invalide, cette autorité ou cette personne doit pouvoir saisir les juridictions nationales pour que, dans le cas où elles douteraient elles aussi de la validité de la décision de la Commission, elles puissent renvoyer l’affaire devant la Cour de justice. 
C’est donc en dernier lieu à la Cour que revient la tâche de décider si une décision de la Commission est valide ou non. La Cour vérifie alors la validité de la décision de la Commission du 26 juillet 2000. À cet égard, la Cour rappelle que la Commission était tenue de constater que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte.
La Cour relève que la Commission n’a pas opéré un tel constat, mais qu’elle s’est bornée à examiner le régime de la sphère de sécurité.
Or, sans qu’il y ait besoin, pour la Cour, de vérifier si ce régime assure un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union, la Cour relève que celui-ci est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises.
En outre, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences. Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences.
La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission4 , d’où il ressort notamment que les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale.
De même, la Commission a constaté qu’il n’existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant, notamment, d’accéder aux données les concernant et, le cas échéant, d’obtenir leur rectification ou leur suppression.
S’agissant du niveau de protection substantiellement équivalent avec les libertés et droits fondamentaux garanti au sein de l’Union, la Cour constate que, en droit de l’Union, une réglementation n’est pas limitée au strict nécessaire, dès lors qu’elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes dont les données sont transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif poursuivi et sans que des critères objectifs ne soient prévus en vue de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure.
La Cour ajoute qu’une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé. 
De même, la Cour relève qu’une règlementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l’existence d’un État de droit.
Enfin, la Cour constate que la décision de la Commission du 26 juillet 2000 prive les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. La Cour considère que la Commission n’avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle. 
Pour toutes ces raisons, la Cour déclare la décision de la Commission du 26 juillet 2000 invalide.
Cet arrêt a pour conséquence que l’autorité irlandaise de contrôle est tenue d’examiner la plainte de M. Schrems avec toute la diligence requise et qu’il lui appartient, au terme de son enquête, de décider s’il convient, en vertu de la directive, de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles. 
Notes
1 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).
2 Décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique (JO 2000, L 215, p. 7).
3 Le régime de la sphère de sécurité comprend une série de principes relatifs à la protection des données à caractère personnel auxquels les entreprises américaines peuvent souscrire volontairement.
4 Communication de la Commission au Parlement européen et au Conseil, intitulée « Rétablir la confiance dans les flux des données entre l’Union européenne et les États-Unis d’Amérique » (COM(2013) 846 final, 27 novembre 2013) et communication de la Commission au Parlement et au Conseil relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l’Union et des entreprises établies sur son territoire (COM(2013) 847 final, 27 novembre 2013).

Meijers Committee : EU list of safe countries of origin

ORIGINAL PUBLISHED ON THE MEIJERS COMMITEE PAGE 

Summary of recommendations

As part of the response to the unfolding refugee crisis in Europe, the European Commission recently proposed a Regulation establishing a common EU list of safe countries of origin.1 In this note the Meijers Committee submits a number of observations and recommendations to the Union legislator. In particular, the Meijers Committee

i) welcomes the Commission’s decision to opt for legislation rather than intergovernmental cooperation;
ii) expresses doubts whether a common list of safe countries of origin will have the desired effect of arriving at common procedural practices;
iii) advises that designations of countries as safe should as a rule take into account the position of vulnerable minority groups within the country;
iv)  recommends to apply the concept of safe country of origin only after an individual examination involving a personal interview and a right to legal assistance;
v) recommends to obtain external expert advice before adopting or amending the list, for example from UNHCR;
vi)  advises to codify the right to appeal against negative decisions for reason of a person coming from a safe country with automatic suspensive effect, as guaranteed by the EU Charter on Fundamental Rights and the ECHR.

At the end of this note, the Meijers Committee proposes to insert three amendments into the Regulation to bring the level of legal protection in conformity with relevant human rights law.
The amendments concern:
i) the right to an individual interview;
ii) suspensive effect of appeals with regard to removal;
iii)  Position of minorities in the designation criteria.

Legislation as the chosen instrument

The European Commission introduced a Regulation which directly creates a list of safe countries of origin. Any changes to the list can be made through a legislative act only. The regulation also amends articles in the Procedures Directive pertaining to the safe country of origin   concept. The Meijers Committee welcomes that the Commission proposes to establish this list through a Regulation. Establishing the list in an informal, intergovernmental manner would have left out co-decision of the European Parliament and judicial oversight of the Court of Justice.2 Given the serious ramifications of a common list of safe countries of origin, it is important that it is adopted in a transparent and democratic accountable manner.

The “safe country of origin” concept Continue reading “Meijers Committee : EU list of safe countries of origin”

Protection des données et relations transatlantiques : les conclusions de l’Avocat général dans l’affaire Schrems. Une fusée à plusieurs étages et une bombe à retardement…

PUBLISHED ON CDRE SITE ON 30 SEPTEMBRE 2015

par Sylvie Peyrou, (CDRE)

Les références imagées se pressent à l’esprit tant les conclusions de l’Avocat général Yves Bot s’avèrent riches – et lourdes de conséquences si la Cour de Justice s’avise de les suivre – dans cette affaire (C-362/14), où les mots « Facebook », « Prism », « NSA », protection des données, droit fondamental, qui émaillent le texte révèlent l’importance du contexte qui le sous-tend.

L’étudiant autrichien à l’origine du contentieux, Max Schrems, s’est plaint auprès de l’autorité irlandaise de protection des données de ce que ses données personnelles fournies à Facebook soient transférées, à partir de la filiale irlandaise de Facebook, sur des serveurs situés sur le territoire des Etats-Unis. Il estime en effet, eu égard aux révélations faites en 2013 par Edward Snowden dans le cadre de l’affaire « Prism », relative aux activités des services de renseignement des Etats-Unis (la NSA en particulier), que tant le droit que la pratique des Etats-Unis n’offrent aucune protection contre la surveillance par l’Etat américain des données transférées vers ce pays. Sa plainte toutefois a été rejetée au motif que la Commission européenne, par une décision du 26 juillet 2000 (2000/520/CE), a estimé que, dans le cadre du régime dit de la « sphère de sécurité (« Safe Harbor »), les Etats-Unis assurent un niveau adéquat de protection aux données personnelles transférées. La High Court of Ireland (Haute Cour de Justice irlandaise), saisie de l’affaire, a alors posé à la CJUE les questions de savoir si la décision « d’adéquation » de la Commission empêche nécessairement et obligatoirement une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat, et éventuellement d’ordonner la suspension du transfert des données contestées.

Dans ses conclusions du 23 septembre, jouissant déjà d’un grand retentissement, l’Avocat général estime dans un premier temps que l’existence d’une décision de la Commission, constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées, ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la directive 95/46/CE sur le traitement des données à caractère personnel. Et surtout, dans un second temps, et alors même que la question n’a pas été posée à la Cour, il considère que ladite décision de la Commission est invalide.

Ces conclusions aux raisonnements très logiques qui s’empilent comme les compartiments d’une même fusée, fourmillent de questions de principes auxquelles l’Avocat général apporte des réponses de principe, en convoquant tout le ban et l’arrière-ban des grandes jurisprudences de la Cour de ces dernières années : Kadi, N.S., Google Spain, Digital Rights Ireland…avec un point focal central : la protection des droits fondamentaux. Quel que soit l’angle d’attaque, le dossier semble donner raison à l’étudiant autrichien, car l’Avocat général constate clairement dans un premier temps que la décision d’adéquation ne lie pas les autorités nationales de contrôle en matière de protection des données, et – dans un contrôle à double détente – verrouille ensuite le dossier en estimant que, de toute façon, la décision d’adéquation de la Commission est invalide. Ces conclusions, si elles sont suivies, constituent une véritable bombe à retardement pour la matière.

I) Le caractère non contraignant de la décision « d’adéquation » de la Commission pour les autorités nationales de contrôle

Les questions soulevées dans cette affaire nécessitent d’analyser le cadre juridique existant s’agissant du transfert de données à caractère personnel vers des pays tiers à l’Union européenne. Celui-ci est fourni par la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, texte fondamental en la matière pour le volet « marché intérieur » de l’UE. C’est en fait l’articulation entre diverses dispositions de ce texte que l’Avocat général est amené à mettre en lumière, occasion pour lui de réaffirmer la pleine indépendance des autorités nationales de contrôle.

   1. La question de l’articulation entre diverses dispositions de la directive 95/46/CE Continue reading “Protection des données et relations transatlantiques : les conclusions de l’Avocat général dans l’affaire Schrems. Une fusée à plusieurs étages et une bombe à retardement…”

CDRE Crise des réfugiés : les propositions de la Commission concernant la politique de retour de l’UE

ORIGINAL PUBLISHED ON SEPTEMBER 25 ON THE CDRE SITE 

par Marie Garcia, CDRE

A la suite du discours sur l’état de l’Union, prononcé par Jean-Claude Juncker, devant les députés européens, le 9 septembre 2015, la Commission a dévoilé un ensemble de propositions afin de remédier à la crise des réfugiés dans laquelle l’Europe est plongée depuis quelques mois.

Si l’attention médiatique s’est principalement portée sur les propositions relatives à la relocalisation des milliers de réfugiés, et pour cause, la Commission a corrélativement fait état de ses travaux concernant la politique de retour de l’Union européenne. Un plan d’action en matière de retour et un manuel sur le retour ont ainsi été présentés, répondant notamment, à l’appel lancé par l’Agenda européen en matière de migration, au printemps 2015. La Commission y soulignait en effet, que « l’une des incitations au départ des migrants en situation irrégulière tient au fait qu’il est notoire que le système de retour de l’UE – qui vise à renvoyer les migrants en situation irrégulière ou ceux dont la demande d’asile a été rejetée – ne fonctionne pas parfaitement ».

Pour autant, l’inefficacité d’un tel système, n’aura pas eu à attendre le péril de milliers de réfugiés dans les eaux méditerranéennes, pour être dévoilée. La Commission dans sa communication sur la politique de l’Union européenne en matière de retour et le Conseil dans ses conclusions sur la politique de l’UE en matière de retour, notaient déjà au printemps 2014, un certain nombre de dysfonctionnements et faisaient part de leur volonté de concentrer les efforts de tous les acteurs du retour sur « une mise en œuvre plus efficace et une consolidation en profondeur des règles existantes ».

Ainsi, ces nouvelles propositions semblent-elles moins enclines à résoudre la crise actuelle qu’à solutionner les défaillances récurrentes du système de retour de l’Union Européenne, comme en témoignent les chiffres avancés par la Commission européenne. En 2014, moins de 40% des migrants en situation irrégulière ayant reçu l’ordre de quitter l’UE sont effectivement partis, soit 192 445 ressortissants de pays tiers en situation irrégulière sur les 470 080 à l’encontre desquels les autorités nationales ont adopté une décision de retour. Rien de nouveau pour autant, le taux d’exécution des décisions de retour oscillant entre 40 et 45% pour les années 2009-2013 (voir le rapport du Réseau européen des migrations, EMN Return Experts Group Directory : Connecting Return experts across Europe, October 2014).

Face à ces défaillances les coupables sont enfin désignés, la Commission osant la formule selon laquelle, la mise en œuvre par les Etats membres du droit de l’Union en matière de retour « laisse à désirer ».

Déterminée à faire bouger les lignes, la Commission riposte et propose un plan de bataille aux ambitions néanmoins variables…

Le soutien opérationnel à l’égard des Etats membres

Il n’est pas inutile de rappeler que la directive « retour » et notamment son article 6§1, implique l’obligation pour les Etats membres, d’éloigner tout ressortissant d’un pays tiers en séjour irrégulier sur leur territoire, à moins que des motifs humanitaires ou charitables autorisent la délivrance d’un titre de séjour. Malgré la simplicité de la formule, les autorités nationales peinent à s’y conformer, leur inaction maintenant dans l’illégalité les individus à l’égard desquels elles prétendent pourtant tout mettre en œuvre pour leur faire regagner leur pays d’origine. L’exemple français relatif à la gestion des déboutés de l’asile et dont ce site s’est fait l’écho il y a peu, suffit à lui seul, à prendre la mesure de l’hypocrisie ambiante.

Brandissant dans un premier temps le spectre de la sanction, en annonçant qu’elle n’hésitera pas à engager des procédures d’infraction à l’égard des plus récalcitrants, la Commission s’attache surtout à clarifier les obligations des Etats membres et les moyens dont ils disposent pour mettre en œuvre leurs engagements.

De ce point de vue, le manuel sur le retour, élaboré en collaboration avec les Etats membres au sein du Groupe de contact relatif à la directive retour (Contact Committee Return Directive), constitue un outil de travail considérable. Véritable guide d’utilisation, à destination des organes nationaux en charge des retours dans les Etats membres, il explicite en grande partie la procédure de retour prévue par les dispositions de la directive 2008/115, et ce, après avoir recueilli auprès des représentants nationaux, lors de réunions informelles, toutes informations susceptibles d’en améliorer la compréhension. En effet, si la politique de retour se définit au niveau européen, son exécution nationale implique que l’on s’adresse aussi à tous les agents publics qui la mettent en œuvre quotidiennement mais dont la familiarité avec les spécificités du droit de l’Union européenne n’est pas toujours aisée. Ainsi, le droit de l’Union européenne peut-il être perfectionné, et sa mise en œuvre optimisée, sans que l’on ne s’engage précisément dans un nouveau processus législatif. Pour autant, l’évaluation de la mise en œuvre de la directive « retour » poursuit son cours, au risque de faire subir au texte quelques modifications, au plus tard en 2017. Effet d’annonce ou sérieux projet, l’avenir nous le dira.

La dimension opérationnelle de la politique de retour exigeait également de repenser l’organisation de la coopération pratique qui caractérise la matière. Les propositions de la Commission répondent donc à l’idée, qui n’est pas nouvelle, de renforcer le rôle et le mandat de l’Agence européenne pour la gestion de la coopération opérationnelle aux frontières extérieures de l’UE. Bien que déjà impliquée dans la coordination d’opérations de retour conjointes, l’exécutif européen entend dépasser la fonction d’assistance qui est celle de l’Agence aujourd’hui. Ainsi, pour faire de Frontex un acteur incontournable en matière de retour, la Commission soumet la possibilité d’autoriser l’Agence à lancer des opérations de retour et à coordonner et organiser ces opérations à partir d’un seul Etat membre. En ce sens, la création d’un bureau Frontex chargé des retours et la dotation de ressources supplémentaires (5 millions d’euros pour les activités liées aux retours) marqueraient (symboliquement ?) l’autonomie de l’Agence dans la mise en œuvre des procédures de retour nationales.

De plus, dans des situations d’urgence telle que celle que nous vivons aujourd’hui, Frontex doit également être en mesure de fournir une assistance opérationnelle aux Etats frontaliers soumis à une forte pression migratoire. Suscitant la polémique, la détermination de « hotspots » avalisée par le Conseil cette semaine, dans sa décision 2015/1523 instituant des mesures provisoires en matière de protection internationale au profit de l’Italie et de la Grèce, devrait permettre à Frontex, en collaboration avec d’autres agences européennes, de déployer des agents sur place, chargés de l’identification des migrants, de faciliter l’obtention des documents de voyage en collaboration avec les services consulaires et de coordonner voire cofinancer les vols de retour.

Enfin, dernier point, moins médiatisé mais tout aussi important, le partage d’informations pour mettre en œuvre le retour. Le constat de la Commission est sans appel : « Actuellement, les Etats membres ne partagent pas systématiquement les informations sur les décisions de retour ou les interdictions d’entrée qu’ils délivrent aux migrants. Par conséquent, un migrant en situation irrégulière qui a l’obligation légale de quitter le territoire peut éviter le retour, tout simplement en se rendant dans un autre Etat membres au sein de l’espace Schengen ».

En d’autres termes, les Etats membres devraient selon le considérant 18 de la directive « retour », introduire dans le système d’information Schengen, les décisions de retour assorties d’une interdiction d’entrée, afin, et cela relève d’une logique imparable, que les personnes visées par ce type de décision, ne puissent à nouveau entrer dans l’Union européenne, par le territoire d’un autre Etat membre. Ne constituant pas cependant, une disposition contraignante, les Etats membres n’alimentent que très ponctuellement cette base de données, réduisant à néant un échange d’information, pourtant capital, pour le bon déroulement des procédures de retour.

Le plan d’action et le manuel sur le retour recommandent donc une introduction systématique et obligatoire de ces décisions, ce dont le Conseil s’est réjoui dans ses conclusions sur une utilisation plus efficace du SIS le 14 septembre 2015… Sans pour autant suivre la Commission quant au caractère contraignant de la mesure. Parallèlement, la Commission envisage d’étendre le champ d’application et l’objet du règlement Eurodac afin de permettre d’utiliser les données relatives au retour et de la sorte recueillir des informations sur la situation de la personne concernée par la décision de retour.

En attendant la concrétisation de ces propositions, elle s’attaque à la question fondamentale de la réadmission, condition sine qua non de l’achèvement de la procédure de retour.

Les stratégies en matière de réadmission

Malgré la conclusion de 17 accords de réadmission, l’Union européenne ne peut prétendre mettre en œuvre une politique de réadmission performante. Engluée dans une stratégie qui a vraisemblablement fait son temps, elle peine à convaincre les pays de retour de bien vouloir participer à un jeu où les gagnants sont très souvent les mêmes. Sans qu’il soit besoin de s’appesantir sur les raisons d’un tel résultat, on peut en revanche regretter les réponses apportées par la Commission, dont le manque d’ambition est tout à fait critiquable.

Ainsi, pour encourager les pays tiers avec lesquels les négociations en matière de réadmission n’aboutissent pas, et qui par la même occasion sont les pays desquels une grande partie des ressortissants en situation irrégulière proviennent (Afrique et particulièrement Afrique du Nord), la Commission entonne son refrain habituel. Flattant l’égo brisé d’une Union dont l’autorité internationale est en berne, elle brandit le sacro-saint principe du « donner plus pour recevoir plus », sans lequel aucun accord de réadmission ne peut être conclu. La méthode a pourtant prouvé ses limites, la Commission soulignant dans le même temps, à propos du cas du Maroc, de la Tunisie et de l’Algérie, que l’Union est « empêtrée » dans de très longues négociations. Les « effets de levier » ne suffiraient-ils pas à satisfaire l’ensemble des parties ? La réponse est dans la question, la facilitation de la délivrance des visas, mesures incitatives phares, étant difficilement conciliable avec les intérêts des Etats membres de l’UE, lorsque ces derniers ont à négocier avec des pays tiers, dont le risque migratoire est bien trop élevé…

Concernant en revanche, les pays tiers avec lesquels des accords de réadmission ont été conclus, la Commission se félicite d’une mise en œuvre relativement aboutie de ces derniers, à défaut cependant, de devoir fournir encore de nombreux efforts pour les pays visés par les Accords de Cotonou (notamment le Nigéria, la RDC, la Côte d’Ivoire ou encore l’Ethiopie). Dans ce cas précis, les pays tiers parties à l’accord, s’engagent à accepter le retour et la réadmission de leurs propres ressortissants sans aucune formalité. Reste cependant, à mettre en œuvre effectivement l’engagement susvisé, au moyen, nous dit la Commission, de réunions bilatérales.

Enfin, arme fatale dont l’Union se gargarise depuis quelques mois, les « dialogues politiques à haut niveau en matière de réadmission », à destination de pays dits prioritaires, dont le risque migratoire est largement avéré. Lancés par la Haute représentante de l’UE pour les affaires étrangères et la politique de sécurité, ils devraient améliorer la coopération entre l’UE et les pays tiers en matière de réadmission, et ce, malgré un désintérêt à peine masqué, pour la question de l’aide à la réintégration des migrants de retour et l’aide au développement des pays de retour.

Dans l’ensemble donc, les signaux transmis sont relativement prudents, même si la Commission occupe davantage d’espace et fait preuve d’une plus grande témérité. Dans une matière où les Etats membres ne supportent que très mal la critique, l’on ne peut que s’en féliciter.

 

The European legal framework on hate speech, blasphemy and its interaction with freedom of expression

Nota Bene : At the request of the European Parliament LIBE committee, this study provides an overview of the legal framework applicable to hate speech and hate crime on the one hand and to blasphemy and religious insult on the other hand. It also evaluates the effectiveness of existing legislation in selected Member States and explores opportunities to strengthen the current EU legal framework, whilst fully respecting the fundamental rights of freedom of expression and freedom of thought, conscience and religion. The study also provides the European Parliament with guidelines on dealing with hate speech within the EU institutions. Link to the full study (446 pages) AUTHORS (*)

EXECUTIVE SUMMARY

Hate speech and hate crime incidents, including those committed online, are on the rise in Europe1, despite the existence of a robust legal framework. This study provides an overview of the legal framework applicable to hate speech and hate crime, as well as to blasphemy and religious insult. It also evaluates the effectiveness of existing legislation in selected Member States and explores opportunities to strengthen the current EU legal framework, whilst fully respecting the fundamental rights of freedom of expression and freedom of thought, conscience and religion. The study also provides the European Parliament with guidelines on dealing with hate speech within the EU institutions.

Legal framework on hate speech and hate crime

At the EU level the legal framework includes inter alia: Council Framework Decision 2008/913/JHA (CFD)2 (requiring Member States to penalise the most severe forms of hate speech and hate crime); and the Audiovisual Media Services (AMSD)3 and Electronic Commerce Directives (ECD)4 (controlling racist and xenophobic behaviours in the media and over the internet). It is important to view the EU measures aimed at addressing racism and xenophobia in the context of the broader EU legislative framework. Instruments aimed at supporting victims of crime and antidiscrimination measures are of particular relevance in this respect. These include Directive 2012/29/EU5 (Victims’ Support Directive) and the EU’s equality and anti-discrimination legislation (e.g. Directive 2000/43/EC6 (the Racial Equality Directive)). The Racial Equality Directive is complemented by other antidiscrimination legislative instruments such as Directive 2000/78/EC7 (the Employment Equality Directive) and Directives 2004/113/EC and 2006/54/EC8 (the Equal Treatment Directives). The EU also provides its support in practice by financing projects aimed inter alia at fighting hate speech and hate crime (for example under the Europe for Citizens Programme 2014-20209 or the Rights, Equality and Citizenship Programme 2014-202010).

The current study, developed on the basis of information gathered through seven national studies (Belgium, Germany, Greece, France, Hungary, the Netherlands and Sweden), has revealed some major drawbacks of the current legal framework applicable to hate speech and hate crime:

Shortcomings related to the transposition of the CFD include its incomplete transposition. Gaps in transposition mainly arise in connection with Article 1(1)(c) and 1(1)(d) of the CFD requiring the penalisation of the condoning, denial or gross trivialisation of genocide, crimes against humanity and war crimes and of Nazi crimes, respectively. To ensure effective protection against the most severe forms of hate speech and hate crime, it is recommended that the European Commission (EC) initiates infringement proceedings against Member States failing to transpose the CFD. Another issue derives from the transposition of the protected characteristics (grounds upon which hate speech and hate crime are prohibited) set out in the CFD, the AMSD and the ECD. As a general rule, Member States’ legislation refers to characteristics beyond those required by the CFD, the AMSD and the ECD. Member States have not taken a harmonised approach in this respect, thus the list of protected characteristics varies from Member State to Member State. Therefore an ambitious review of existing EU law might be necessary.

The use in practice of the CFD, the AMSD and the ECD is hindered by similar factors. Member States fail to collect sufficient reliable data on hate speech and hate crime incidents, which hinders the monitoring and assessment of the scale of the problem. This mainly results from the fact that data collection related competences are often divided between more than one authority, whose data collection efforts are not harmonised. To overcome the existing data gap, Member States with less developed or harmonised data collection methods could be encouraged to learn from Member States with good practices in place. The underreporting of hate speech and hate crime incidents by victims also hinders the understanding of the scale of the problem. Member States could be encouraged to raise awareness of the means of reporting incidents or to facilitate reporting through alternative means, such as anonymously, through the internet or victim support organisations.

The absence of shared understanding by practitioners of the applicable legal provisions seems to be an issue across the globe. The provision of clear guidance to practitioners, for example through awareness raising materials or training programmes, is therefore needed. These tools should provide practitioners with the skills necessary to duly investigate, prosecute and adjudicate hate speech and hate crime incidents.

In addition, applicable rules often fail to cover the liability of operators for the publication of hate content by bloggers or users of social media sites. The liability of bloggers and users of websites is often regulated; however these individuals are sometimes difficult to trace back, moreover it is often difficult to prove their motivation. The situation is an issue of concern given that internet remains a critical tool for the distribution of racist and hateful propaganda. To overcome the potential impunity of offenders it is recommended to regulate the liability of operators, thereby encouraging them to better control the content of blogs and social media websites. Alternatively Member States could reinforce their efforts of monitoring the content of websites. This however, should be done in a manner ensuring the sufficient respect of freedom of expression.

In most Member States, no concerns have arisen regarding the unnecessary limitation of freedom of expression by hate speech legislation, or vice versa. France constitutes an exception in this respect where debates over the borderline between the protection of human dignity and the freedom of expression have recently reignited, when the French Government announced its new campaign against online hate speech. Some considered the French measures as too restrictive of the freedom of expression11. Guidance on where the borderline stands between the two fundamental rights is found in the case law of the European Courts of Human Rights (ECtHR). The ECtHR has ruled that in a democratic society, which is based on pluralism, tolerance and broadmindedness, freedom of expression should be seen as a right extending also to information and ideas that might offend, shock or disturb others. Any limitation of the freedom of expression must be proportionate to the legitimate aim pursued12. Member States could also be encouraged to sign and ratify the Council of Europe’s (CoE) Additional Protocol to the Convention of Cybercrime13, which gives due consideration to freedom of expression, while requiring the criminalisation of racist and xenophobic acts committed online.

Finally, the absence of one comprehensive policy dealing with hate speech and hate crime is itself a matter that should be addressed. This could be addressed through the adoption of a comprehensive strategy for fighting hate speech and hate crime. The Strategy could define concrete policy goals for the Member States, targeting the most severe forms of hate speech and hate crime, including online crime. These policy goals could be set in light of the most important factors hindering the application of hate speech and hate crime legislation in practice. These factors, as explained in details above, include inter alia the insufficient transposition of applicable rules, the inadequate knowledge of practitioners of the rules applicable to hate speech and hate crime, the insufficient data collection mechanisms in place and the existence of severe underreporting. The Strategy should ensure the sufficient respect of freedom of expression and acknowledge that hate speech and hate crime are present in all areas of life (e.g. politics, media, employment).

Legal framework on blasphemy and religious insult Continue reading “The European legal framework on hate speech, blasphemy and its interaction with freedom of expression”

Safe Harbor – No Future? How the General Data Protection Regulation and the rulings of the Court of Justice of the European Union (CJEU) will influence transatlantic data transfers

(ORIGINAL Posted on 1. Oktober 2015  in PETER SCHAAR. Der Blog. )

Ladies and gentlemen,

One week ago, the Advocate General at the Court of Justice of the European Union (CJEU) issued his vote on the Safe Harbor case of Max Schrems vs. the Irish Data Protection Commissioner.

Since 1995 when the General European Directive on Data Protection came into force, data transfers from the European Union and its member states to non-EU countries have been subject to specific privacy and security restrictions. Such restrictions do not exist only in Europe.

For example in the US several legal acts and decisions of regulatory authorities constitute the obligation to store specific data in the own country, in particular data, which have been generated by public bodies and providers of critical infrastructures. The US Federal Trade Commission has stated that a company subject to privacy obligations under US law is not allowed to avoid such obligations by outsourcing their data processing activities to offshore service providers.

The key message of Art. 25 of the 1995 GD is that transfer of personal data to a third country may take place only if the recipient in question ensures an adequate level of data protection. The adequacy shall be assessed in the light of all the circumstances surrounding the data transfer operation.

The main road to adequacy are the so-called adequacy decisions of the European Commission, that the said country ensures an adequate level of data protection. These decisions are binding for the member states. They shall take the measures necessary to comply with the Commission’s decision.

One of the most discussed adequacy decisions concerns the United States – the decision on Safe Harbor, although the Commission was of the opinion, that the US in general failed to provide an adequate level of data protection for the private sector, because of the lack of any comprehensive data protection legislation.

The Safe Harbor principles, negotiated between the Commission and the US government in the late 1990s should bridge this obstacle. The SH arrangement has been aimed at guaranteeing the adequate level of protection required by EU law for those companies, committing themselves to comply with the SH principles.

From the beginning, since the Safe Harbor was agreed in the year 2000 there has been some criticism against it. The main critical argument was that the principles do not meet the high EU data protection standards defined by the General Directive.

A scientific implementation study on SH done 2004 on behalf of the Commission came to the result that „Key concepts such as ‚US organization‘, ’personal data’,’deceptive practices’ lack clarity. Moreover, the jurisdiction of the FTC with regard to certain types of data transfers is dubious.“

It also has been criticized, that companies which declare compliance with the principles at once may profit from the Safe Harbor privileges, even if their privacy practices were not yet subject to an independent audit.

These issues remain important until our days. But after the vote the Advocate General at the CJEU (GA) issued recently, the focus lays on another question: How far practices and powers of US authorities have been ignored in the adequacy assessments.

At the first glance, law enforcement authorities, police and intelligence do not fall within the scope of the Safe Harbor agreement and therefore they do not have to be subject to the assessment. But this first impression is wrong.

As Art. 25 of the GD is pointing out, the assessment is to be done in the light of „all circumstances“ surrounding a data transfer to the third country. Even activities of authorities in the third country have to be examined. It is unclear how far this happened during the Safe Harbor assessment in the late 1990s.

But even if such assessment once took place, the result may be invalid today, because things changed dramatically after 9/11 2001. As we have learnt from Edward Snowden and other whistleblowers, US government has obtained broad access to private companies’ databases, telecommunications and Internet services.

Many companies which have co-operated with the NSA – voluntarily or based on legal obligations – have been safe harborists and there is no doubt that NSA and other services have got access to big amounts of data stemming from Europe or related to EU citizens.

The PATRIOT ACT and secret Presidential Orders, issued after 9/11 provided intelligence and law enforcement agencies with a lot of new powers and simultaneously demolished many safeguards which have been introduced in the 1970s to protect civil rights and privacy.

For years it seemed that many of these changes were not on the screen of the European Commission and other European stakeholders. The implementation study on SH of 2004 came to the conclusion: „Since the new US legislation only rarely contradicts the SH principles for data covered by SH, these conflicts do not appear to undermine the level of protection for any significant flows of personal data to the United States. The controversial provisions of the USA PATRIOT Act are essentially irrelevant for SH data flows.“ (p. 101)

But 2013, after the the beginning of the Snowdon revelations, nobody can ignore any more, that the practices of NSA, CIA and FBI introduced after 9/11 have impact on the level of data protection in the United States: The legal provisions on Government access to personal information, especially the Foreign Intelligence Surveillance Act (FISA), do not meet the basic standards of the rule of law at least so far data of non-US-persons are concerned. The practices disclosed in the last two years and the commitments of US officials on mass surveillance provided the public with loads of evidence that the NSA and others are involved in bulk collection of personal data coming from Europe. Therefore it seems evident, that these practices have to be taken into account by the CJEU.

Another change happened in Europe: The Lisbon Treaty came into force in 2009, and at least since then privacy and data protection, including the independent oversight, have been fundamental rights of the European Union, as parts of the European primary law. European secondary law and European Commission’s decisions have to fulfill these requirements. Even older legislation, agreements with third countries as to PNR or TFTP and Commission’s decisions have to be reviewed in the light of Art. 7 and 8 of the EU Charter of Fundamental Rights.

Acknowledging this, the vote of Advocate General Bot (AG) in the case of Maximilian Schrems versus the Irish Data Protection Commissioner, issued last week, is not really surprising. The vote touches two big points:

Even if the Commission decides that the level of data protection in a country is adequate, this does not prevent national data protection authorities from suspending the transfer of the data, it they are of the opinion, that in the concrete case adequacy criteria are not met by the recipient. As we have learnt from the Snowden revelations, Facebook and other Internet companies cooperated closely with the NSA and provided them with broad access to personal data stored on their servers.
The AG is of the opinion that the Safe Harbor arrangement itself is invalid, because the US, especially the intelligence services, do not provide adequate protection for the personal data coming from Europe. Therefore he proposes to suspend the Safe Harbor.

Nobody knows how the European Court of Justice will decide the case. The ruling is expected on 6 October. Perhaps you know the sentence „How the judge decides depends what he ate for breakfast“. It is correct: The vote of the advocate general is only an opinion and it does not bind anybody.

But for me it seems likely that the judges will acknowledge the vote, at least in the result. In two earlier cases, the court decided last year, on data retention and on the right to be forgotten, the judges underlined the high importance of European fundamental rights on privacy and data protection. In these cases the court went beyond the Advocate general’s vote. In the Schrems’ case the AG adapted this recent orientation of the judges.

If the CJEU will decide as proposed by the AG, this does not mean automatically the end of Safe Harbor. But the Safe Harbor arrangement must be renegotiated and at the end there might be a better safe Harbor System, meeting the principles of fundamental rights and complying with the new EU Data Protection Regulation.

Art. 41 of the Commissions proposal contains criteria, conditions and procedures for adequacy assessments, more specific than the current Art. 25 of the GD from 1995: The criteria which shall be taken into account for the Commission’s assessment of an adequate or not adequate level of protection include expressly the rule of law, judicial redress and independent supervision. The new article confirms explicitly the possibility for the Commission to assess the level of protection afforded by a territory or a processing sector within a third country.

My conclusion for today: Safe Harbor will be possible even in the future. But such a „happy end“ requires changes in the SH arrangement. And it requires effective legal guarantees for EU citizens in the US.

Also necessary is a new thinking in Europe, in particular on the fields of law enforcement and intelligence. If we urge the US to respect our privacy, European secret services have to respect fundamental rights of all EU citizens and citizens of third countries as well.