L'UE sabre le Privacy Shield, l'accord qui autorisait le transfert des données vers les Etats-Unis
Le juge européen estime que l'accord qui autorisait le transfert de données personnelles européennes aux Etats-Unis n'est pas valide. Le Privacy Shield était attaqué par Maximillian Schrems, un militant autrichien accusant Facebook de piétiner les données personnelles.
Alice Vitard
C'était une décision très attendue. La Cour de justice de l'Union européenne invalide le 16 juillet le Privacy Shield, appelé aussi le bouclier de protection des données UE-Etats-Unis. Négocié entre 2015 et 2016, cet accord autorisait les entreprises européennes à transférer des données personnelles en outre-Atlantique, en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.
La surveillance américaine est incompatible avec le RGPD
En premier lieu, le juge européen estime que les programmes de surveillance américains ne sont pas compatibles avec les principes du Règlement général sur la protection des données (RGPD). "Ils permettent aux autorités américaines d'avoir un accès très large aux données traitées par les entreprises", explique Lorette Dubois, avocate spécialisée dans la protection des données personnelles au sein du cabinet Vercken & Gaullier, contactée par L'Usine Digitale. En second lieu, la Cour affirme que "les citoyens européens n'ont pas de recours effectifs aux Etats-Unis" leur permettant de maîtriser pleinement leurs données personnelles.
Concrètement, cela signifie que "le transfert des données personnelles vers les Etats-Unis comporte un risque". En d'autres termes, sauf à violer la législation européenne en vigueur, les entreprises ne peuvent plus transférer de données personnelles vers les Etats-Unis. Cette décision peut donc avoir des conséquences économiques potentiellement désastreuses. D'ailleurs, dans un communiqué, le secrétaire américain au Commerce s'est ému de la situation. "Nous espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernement respectifs", a expliqué Wilbur Ross.
L'impossibilité de se baser sur les clauses contractuelles types
La seconde partie de la décision concerne "les clauses contractuelles types". Ce sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. "Avant tout transfert de données personnelles vers un destinataire, les entreprises doivent faire signer ces clauses" en l'absence d'accord avec le pays tiers, précise Lorette Dubois. Maintenant que le Privacy Shield a été invalidé, est-ce que les entreprises peuvent recourir à ces clauses ?
En théorie, oui. "La Cour de justice déclare que les clauses contractuelles types offrent un niveau de garantie suffisant, affirme l'avocate. Elle laisse le soin à chaque entreprise qui opérera des transferts de décider si les données personnelles sont suffisamment protégées dans le pays destinataire." Mais dans les faits, comment prouver que ces données sont effectivement protégées lorsque la Cour pointe du doigt les programmes de surveillance américains ? "A ce stade, tout transfert vers les Etats-Unis comporte un risque", tranche la spécialiste des données personnelles. Ces clauses restent bien évidemment utilisables pour le transfert dans d'autres pays tiers.
A l'origine, un militant pour la protection des données personnelles
L'arrêt de la Cour de justice s'inscrit dans une série de décision connu sous le nom de "Schrems" faisant référence au requérant rencontré il y a quelques années par L'Usine Digitale. Né en Autriche, Maximillian Schrems est un militant pour la protection des données personnelles. Il est à la tête de l'initiative "Europe vs Facebook", qui a pour vocation de pousser Facebook à "se mettre enfin en conformité avec le droit, en ce qui concerne la protection des données".
Parmi les nombreuses plaintes déposées, l'une d'elle visait à interdire à Facebook Ireland de transférer les données de citoyens européens vers les data centers du réseau social situés aux Etats-Unis. Saisie de cette demande, la Data Protection Commission – l'équivalent de la Cnil en Irlande – a estimé que la protection offerte aux données personnelles par les Etats-Unis était suffisante.
En octobre 2015, la Cour de justice de l'Union européenne affirmait le contraire et invalidait le "Safe Harbor", l'ancêtre du Privacy Shield. Suite à ce refus, l'autorité irlandaise a demandé à Max Schrems de reformuler sa plainte. Il maintient alors que les Etats-Unis n'offrent toujours pas de protection suffisante. Entre temps, en l'absence d'accord avec les autorités européennes, Facebook réalisait ses transferts sur le fondement des clauses contractuelles types adoptées par la Commission européenne.
Face à cet enchevêtrement, l'Irlande a transféré une question préjudicielle au juge européen, soit une procédure permettant à une juridiction nationale d'interroger la CJUE sur l'interprétation du droit de l'UE dans le cadre d'un litige dont elle est saisie. La Cour vient donc de répondre à cette question.
SUR LE MÊME SUJET
2Commentaires
Réagir
