EurActiv.fr

Actualités & débats européens dans votre langue

23/01/2017

La Cour de justice désavoue la Commission européenne sur la protection des données

Sciences & Législation

La Cour de justice désavoue la Commission européenne sur la protection des données

L'étudiant en droit Max Shrems, à l'origine de la plainte sur le transfert des données personnelles aux Etats-Unis

La Commission européenne a salué la décision de la Cour de justice européenne d’invalider le transfert des données personnelles aux Etats-Unis. Mais des critiques s’interrogent sur la frilosité de l’exécutif européen sur le sujet.

La Cour européenne de justice (CEJ), suivant l’avis de son avocat général, a invalidé mardi une directive de la Commission adoptée en juillet 2000 autorisant le transfert de données personnelles d’internautes européens vers les Etats-Unis.

La Commission européenne avait fixé un cadre juridique accordant aux Etats-Unis un régime de «Safe Harbour», autrement dit la possibilité de stocker sur des serveurs américains des données personnelles de ressortissants européens.

La Cour de justice déclare la décision prise par «la Commission le 26 juillet 2000 invalide», précise-t-elle un communiqué.

>>Lire : La Cour européenne condamne le transfert des données personnelles aux Etats-Unis

Etonnamment, le vice-président de la Commission, Frans Timmermans, a dans la foulée estimé que la décision représentait « un pas important vers la conservation du droit fondamental des Européens à la protection des données. » Lors d’une conférence de presse à Strasbourg, le numéro deux de l’exécutif européen a aussi précisé que la Commission allait travailler à mettre en place un nouvel accord.

Certes, l’accord signé il y a 15 ans l’avait été par la Commission présidée par Romano Prodi. Il a néanmoins été remis en question à de multiples reprises avant que la Cour de justice le juge non conforme.

Mais pour l’eurodéputée néerlandaise Sophie in’t Veld, la Commission n’a simplement pas bien fait son travail.

La Cour de justice argue du fait que le cadre juridique prévoit qu’une entreprise ou une société qui entend faire sortir des données de l’Union européenne doit disposer de la part du pays destinataire, en l’occurrence les Etats-Unis, d’un «niveau de protection adéquat à ces données» en prenant en compte «toutes les circonstances» légales ou de fait.

La surveillance de masse responsable de cette décision

Or, dans son avis, l’avocat général auprès de la CEJ estimait que les circonstances n’étaient plus de nature à assurer ce niveau de protection depuis les révélations faites par l’ancien analyste Edward Snowden sur le programme de surveillance Prism de l’Agence de sécurité nationale américaine (NSA).

La CEJ fait donc droit à la plainte déposée par un ressortissant autrichien, Maximilian Schrems, auprès de l’autorité irlandaise de contrôle après les révélations faites par Edward Snowden en 2013 sur les activités d’espionnage de la NSA visant des sociétés comme Apple, Facebook ou Google.

Maximilian Schrems, utilisateur de Facebook depuis 2008, estimait que ses données personnelles transférées à partir de la filiale irlandaise de Facebook vers des serveurs aux Etats-Unis ne bénéficiaient plus de «la protection suffisante contre la surveillance» que devaient offrir le droit et les pratiques des autorités américaines.

La CEJ a donc jugé que l’autorité irlandaise de contrôle «est tenue d’examiner la plainte de M. Schrems et qu’il lui appartient, au terme de son enquête, de décider s’il convient, en vertu de la directive, de suspendre le transfert des données des abonnés européens de Facebook vers les Etats-Unis».

La Cour européenne ajoute que les entreprises américaines sont soumises au respect de cette protection suffisante «sans qu’aucune différenciation, limitation ou exception ne soient opérées».

Le plaignant s’est félicité de cette décision, « qui met en lumière le fait que la surveillance de masse viole nos droits fondamentaux » tout en créant un précédent pour des plaintes similaires.

«Il s’agit d’une très mauvaise nouvelle pour les relations commerciales entre l’Union européenne et les USA», a estimé Richard Cumbley, responsable des questions de technologie, des médias et des télécommunications au cabinet juridique Linklaters. «Sans Safe Harbour, (les entreprises) vont avoir du mal à mettre en oeuvre des solutions de remplacement».

Selon la Commission, des solutions existent toutefois dans l’attente, d’une part dans le cadre de dérogations, d’autre part en échange du consentement des individus.

Réactions

Plus d'information

Cour de Justice de l’Union européenne