La Cour de justice de l’Union européenne (CJUE) a annulé, jeudi 16 juillet, l’accord dit « Privacy Shield » (« bouclier de protection des données ») qui permet aux entreprises du numérique de transférer légalement les données personnelles de citoyens européens aux Etats-Unis.
Ce dispositif est utilisé par la quasi-totalité des grandes entreprises américaines pour traiter les données personnelles (identité, comportement en ligne, géolocalisation…) de leurs utilisateurs européens. Très strictement réglementée en Europe, l’utilisation de ces données est moins encadrée aux Etats-Unis ; pour permettre aux entreprises américaines de les utiliser, le Privacy Shield prévoyait une dérogation, à condition qu’elles s’engagent à respecter certaines mesures.
La cour confirme que les entreprises peuvent se conformer à la loi européenne en s’engageant à respecter certaines précautions quant à l’usage des données de leurs utilisateurs européens
Il avait été adopté en juillet 2016, près d’un an après l’invalidation de l’accord « Safe Harbor », par la CJUE. Dès son adoption, le Privacy Shield avait été attaqué par le militant autrichien de la vie privée Max Schrems : « Il est terriblement clair que les règles [du Privacy Shield] n’arrivent pas à la cheville des règles imposées par l’UE. (…) Etant donné ses nombreux manquements, il est très probable que [cet accord] soit invalidé par la justice européenne », prédisait-il en juillet 2016 dans une tribune publiée par The Irish Times. Le G29, le groupe qui rassemble les différentes autorités de protection de la vie privée en Europe, s’était également montré très critique sur cet accord, regrettant notamment des dispositions essentielles trop faibles et un mécanisme de réparation difficilement applicable.
Légalité des « clauses contractuelles »
La décision de la justice européenne ne concerne pas les transferts de données jugés « nécessaires » – par exemple le contenu d’un e-mail envoyé aux Etats-Unis. La Cour a par ailleurs, conformément aux conclusions de l’avocat général, validé une autre décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données. En clair, la CJUE invalide l’accord global que constituait le Privacy Shield, mais confirme que les entreprises peuvent se conformer à la loi européenne en s’engageant, individuellement, à respecter certaines précautions quant à l’usage des données de leurs utilisateurs européens.
Mais ces clauses contractuelles doivent présenter un haut niveau de garanties, précise la Cour. Notamment contre une surveillance arbitraire contre laquelle il n’existe pas de recours effectif, du type de celle pratiquée par la NSA américaine, comme l’ont montré notamment les révélations du lanceur d’alerte Edward Snowden.
Comment l’assurer ? La Computer and Communications Industry Association (CCIA - « Association de l’industrie de l’informatique et des communications »), qui compte parmi ses membres Google, Samsung ou Amazon, dit regretter « l’incertitude légale » créée par cette décision, et dit espérer à la fois des « recommandations de la part des autorités de protection des données » et de nouvelles discussions qui permettront aux « responsables politiques américains et européens de trouver rapidement une solution viable (…) pour assurer la continuité des flux d’informations qui sous-tendent l’économie numérique ».
De son côté, la Business Software Alliance, qui rassemble de très grandes entreprises du numérique dont Microsoft ou Oracle, s’est dite « soulagée de voir que les clauses standards contractuelles restent valides », tout en regrettant que la décision « élimine l’un des rares moyens fiables de transférer des données de l’autre côté de l’Atlantique ».
Nouvelles négociations à prévoir
Le commissaire européen à la justice, Didier Reynders, avait assuré avant la décision que la Commission avait déjà anticipé plusieurs « scénarios ». « En fonction du contenu de la décision, on verra quels sont les outils – déjà préparés – à utiliser pour à la fois conforter les droits fondamentaux et vérifier que la protection donnée par l’UE voyage avec les données », avait-il expliqué à l’Agence France-Presse.
Dans un communiqué du ministère du commerce, les Etats-Unis se sont dits « profondément déçus » par la décision. Washington continuera à travailler avec la Commission européenne, et étudie la décision de justice en détail pour en comprendre tous les effets concrets, a affirmé Wilbur Ross, le secrétaire américain au commerce. Nous « espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7 100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernements respectifs », a ajouté M. Ross.
Plaignant dans cette affaire, Max Schrems s’est félicité de cette décision : « A première vue, il semble que la cour nous a suivis sur tous les points. C’est un énorme coup porté à la commission de protection des données irlandaise (la plupart des sièges européens des géants du numérique sont basés à Dublin) et à Facebook. Il est clair que les Etats-Unis vont devoir sérieusement changer leurs lois sur la surveillance si leurs entreprises veulent continuer à jouer un rôle sur le marché européen. (…) La cour ne dit pas seulement à la commission de protection des données irlandaise de faire son travail après sept ans d’inaction, mais que ce type d’agence a un devoir d’action et ne peut pas se contenter de fermer les yeux. C’est un changement fondamental qui va bien plus loin que les transferts de données entre UE et Etats-Unis. Les autorités comme la commission de protection des données irlandaise ont sapé le succès du RGPD jusque-là. La cour dit clairement qu’elles doivent se mettre au travail et faire respecter la loi. »
Contribuer
Réutiliser ce contenu
