Les transferts de données entre l’UE et les États-Unis menacés par l’invalidation du bouclier de confidentialité

L'entrée principale de la Cour de justice de l'Union européenne. [EPA-EFE/JULIEN WARNAND]

Le bouclier de protection des données, qui vise à garantir la confidentialité des données de l’UE transférées aux États-Unis, a été déclaré nul par la CJUE. Une décision qui va fortement perturber les échanges de données transatlantiques.

Jeudi 16 juillet, la Cour de justice de l’Union européenne (CJUE) a jugé que le programme-cadre de surveillance des États-Unis ne protégeait pas suffisamment les données européennes et risquait donc d’entraîner des violations des droits des citoyens, conformément au règlement général sur la protection des données (RGPD).

La législation américaine sur l’accès aux données personnelles transférées depuis l’UE et l’utilisation de celles-ci par les autorités publiques du pays « n’est pas limitée de manière à satisfaire des exigences essentiellement équivalentes à celles requises par le droit communautaire », estime la Cour.

Cet arrêt représente une belle victoire pour le militant autrichien de la protection de la vie privée, Max Schrems, qui était aussi défendeur dans l’affaire. C’est lui qui avait fait valoir que le bouclier de protection ne couvrait pas suffisamment les données européennes.

« Je suis très content de ce jugement. Il semblerait que la Cour nous ait suivis sur tous les points. C’est un coup dur pour la Commission irlandaise de protection des données et Facebook », a-t-il indiqué jeudi.

« Une chose est sûre, les États-Unis devront revoir en profondeur leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen ».

FISA 702

Selon Max Schrems, la section 702 de la loi américaine sur la surveillance et le renseignement étranger (FISA) autorise l’Agence pour la sécurité nationale (NSA) à collecter les données de ressortissants de pays tiers par le biais de plateformes de communication, comme Facebook.

LA CJUE s’est ralliée à cet avis dans son arrêt du 16 juillet.

Dans certains programmes de surveillance, aucune disposition ne fixe la limite de ce pouvoir de contrôle ou n’impose des garanties pour les personnes non américaines potentiellement ciblées, indique la Cour. Et de souligner que les citoyens européens ne disposent d’aucun « droit concret » contre les autorités américaines dans un tel mécanisme.

Pour Oliver Patel, chercheur associé à l’UCL European Institute, ce jugement n’est pas surprenant. En effet, le précédent accord sur les transferts de données UE-États-Unis, la Sphère de sécurité, avait déjà été rejeté par la CJUE en 2015.

Max Schrems avait alors intenté une action en justice contre les principes de protection de la vie privée du « Safe Harbor ». Cette politique visait à empêcher les entreprises européennes ou américaines de perdre ou de révéler accidentellement les données personnelles de citoyens.

La Cour européenne condamne le transfert de données personnelles aux États-Unis

Un avocat général de la Cour européenne de justice a émis un avis le 23 septembre sur l’accord de « Safe harbour » qui autorise de transmettre les données personnelles des individus de l’UE vers les États-Unis.

La CJUE a finalement décidé d’annuler l’accord et a jugé que les autorités de protection des données pouvaient suspendre les transferts vers d’autres pays si elles disposaient de preuves de violation de la confidentialité.

Oliver Patel estime que l’arrêt de jeudi ne fait que confirmer ce qui était évident depuis le début : l’incompatibilité de la norme FISA 702 avec la charte des droits fondamentaux de l’UE.

« C’est même audacieux de croire que la Commission aurait pu prendre une autre décision ».

Selon le chercheur, il est probable que le cadre de surveillance américain soit réformé un jour, mais il ne s’agira pas d’un effet direct de l’arrêt du 16 juillet.

« Le cadre de surveillance américain constitue un élément fondamental de l’identité politique du pays », affirme-t-il. « Une réforme pourrait éventuellement avoir lieu, mais je ne pense pas qu’elle sera le résultat de la CJUE. Les États-Unis doivent décider s’ils veulent donner la priorité à leur propre régime de surveillance ou aux transferts de données de l’UE ».

L’industrie s’exprime 

Ailleurs, le jugement suscite l’inquiétude de certains professionnels de la vie privée et autres acteurs du secteur.

« La décision d’aujourd’hui bloque effectivement les transferts légaux de données à caractère personnel de l’UE vers les États-Unis. Elle laissera sans aucun doute des dizaines de milliers d’entreprises américaines dans l’embarras et sans moyen légal de mener des affaires transatlantiques, qui représentent des milliards de dollars par an », soutient Caitlin Fennessy, directrice de recherche à l’International Association of Privacy Professionals (IAPP).

« La CJUE a décidé d’annuler le bouclier de protection des données, dont plus de 5 000 entreprises américaines dépendent, parce qu’il ne limite pas l’accès du gouvernement américain aux données […] et ne prévoit aucun recours judiciaire », ajoute la directrice, qui avait participé à l’élaboration du mécanisme.

Parallèlement, les acteurs de l’industrie ont également exprimé leurs inquiétudes quant à l’avenir des transferts de données entre l’UE et les États-Unis.

« Les entreprises doivent disposer de mécanismes fiables et stables pour envoyer des données de l’UE vers les États-Unis. La décision d’aujourd’hui représente un obstacle inutile au commerce électronique entre l’UE et les États-Unis, à un moment où les relations commerciales mondiales sont de plus en plus compliquées », déclare Thomas Boué, directeur général des politiques de BSA, l’organisme de défense et de promotion de l’industrie du logiciel.

En ce qui concerne les clauses contractuelles types — des accords individuels qui facilitent le transfert de données européennes à l’échelle internationale —, la CJUE juge ces contrats valables, mais que les risques qu’ils génèrent doivent être pris en compte.

Et ces accords seront annulés à la discrétion des autorités nationales de protection des données, a déclaré la Cour jeudi.

« À moins qu’il n’existe une décision d’adéquation valable de la Commission, ces autorités de contrôle compétentes sont tenues de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elles estiment, au vu de toutes les circonstances de ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées ».

L’article 49 du RGPD détaille les conditions dans lesquelles les transferts de données « nécessaires » peuvent continuer en l’absence d’une décision d’adéquation ou de garanties appropriées.

Mark Zuckerberg appelle à un leadership européen en matière de réglementation des plateformes

Le PDG de Facebook s’est entretenu avec le commissaire français Thierry Breton lors d’une conférence en ligne. Les deux dirigeants affichent des positions assez opposées sur de nombreux points.

Subscribe to our newsletters

Subscribe
CONTRIBUER