La justice européenne invalide le transfert de données personnelles entre UE et USA

Le 16 juillet 2020 à 22:33

Par l'AFP

La justice européenne a invalidé jeudi un mécanisme crucial permettant le transfert de données personnelles entre l'Union européenne et les Etats-Unis - le "Privacy Shield" - en raison du risque que font peser les programmes de surveillance américains sur la protection de ces données. Cette décision a été accueillie comme une victoire par le juriste autrichien Max Schrems, figure de la lutte pour la protection des données, qui était à l'origine de l'affaire via une plainte contre Facebook. "Après une première lecture du jugement sur le Privacy Shield, il semble que nous ayons gagné à 100% - pour notre vie privée", écrit sur Twitter celui qui s'était fait connaître en faisant déjà annuler en 2015 un accord similaire entre l'UE et les Etats-Unis. "Les États-Unis devront engager une sérieuse réforme de la surveillance pour revenir à un statut privilégié pour les entreprises américaines" leur permettant de transférer des données, a-t-il ajouté. La Cour de justice de l'UE (CJUE) estime dans son arrêt que le "Privacy Shield" rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées" vers les Etats-Unis, car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité "au strict nécessaire". "Cette décision crée une incertitude juridique pour les milliers de petites et grandes entreprises des deux côtés de l'Atlantique qui comptent sur le Privacy Shield pour leurs transferts quotidiens de données commerciales", a réagi Alexandre Roure, du CCIA, le lobby des géants de la tech à Bruxelles. "Nous espérons que les décideurs européens et américains élaboreront rapidement une solution durable, conforme au droit européen, pour garantir la poursuite des flux de données", a-t-il ajouté.

La CJUE a en revanche jugé valide un autre mécanisme permettant le transfert de données de l'UE vers le reste du monde : les "clauses contractuelles type", un modèle de contrat défini par la Commission européenne, que toute entreprise peut utiliser pour exporter ses données, par exemple vers une filiale, sa maison mère ou un tiers. Les entreprises touchées par la décision sur le "Privacy Shield" devraient se reporter sur ce mécanisme. Le commissaire européen à la Justice, Didier Reynders, avait assuré avant la décision que la Commission avait déjà anticipé plusieurs "scénarios". "En fonction du contenu de la décision, on verra quels sont les outils - déjà préparés - à utiliser pour à la fois conforter les droits fondamentaux et vérifier que la protection donnée par l'UE voyage avec les données", avait-il expliqué à l'AFP. "L'ambition est de réagir ensemble (...) du côté européen comme du côté américain", avait-il assuré.

L'invalidation du "Privacy Shield" constitue un nouveau désaveu pour Bruxelles après l'annulation mercredi de sa décision exigeant d'Apple le remboursement de 13 milliards d'euros, jusqu'alors considérés comme des avantages fiscaux indus. À l'origine de l'affaire : une plainte de Max Schrems auprès du régulateur irlandais, réclamant l'interruption du flux de données entre le siège européen de Facebook, en Irlande, et sa maison-mère en Californie. Raison invoquée : une fois aux Etats-Unis, ses données sont moins protégées, car elles peuvent être réclamées par des agences de renseignement, comme la NSA ou le FBI, sans recours, ni contrôle, comme l'ont montré les révélations du lanceur d'alerte Edward Snowden. La CJUE a choisi d'aller dans son sens.

Meta se saisit de "deepfakes" sexualisant des femmes connues

Les nouveaux utilisateurs de X devront payer pour publier

Meta suspend son réseau social Threads en Turquie