Le "Privacy Shield", un accord autorisant le transfert de données personnelles entre l'Union européenne et les États-Unis, a été jugé invalide par la Cour de justice de l'Union européenne, ce jeudi 16 juillet. La Cour invoque des risques d'"ingérence dans les droits fondamentaux des personnes".

A l'origine de la décision, une plainte contre l'utilisation des données personnelles par Facebook.
A l'origine de la décision, une plainte contre l'utilisation des données personnelles par Facebook. © AFP / DENIS CHARLET

Pour la justice européenne, les risques que font peser les programmes de surveillance américains sur la protection des données sont trop élevés. De leur côté, les Etats-Unis se disent "profondément déçus" par la décision.

Le "Privacy Shield", ou "Bouclier de Protection des Données", est un mécanisme entré en vigueur en 2016. Il vise à encadrer les transferts de données personnelles d'internautes européens vers les États-Unis. La majorité des grandes entreprises américaines y ont recours pour traiter les données de leurs utilisateurs européens. Or l'utilisation de ces données est bien moins encadrée au niveau américain qu'européen.

Dans sa décision du 16 juillet 2020, la Cour de justice de l'Union européenne tranche : le mécanisme du "Privacy Shield" est insuffisant. La Cour évoque dans son arrêt que l'accord rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées" vers les États-Unis car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité "au strict nécessaire".

Pour la CJUE, les limitations de la protection des données qui découlent de la réglementation américaine "ne sont pas encadrées d'une manière à répondre à des exigences équivalentes à celles requises en droit de l'Union", en l'occurrence des conditions imposées par le RGPD (règlement général sur la protection des données).

"Nous avons gagné à 100% pour notre vie privée"

C'est Max Shrems, un activiste autrichien qui a fait de la protection des données personnelles son cheval de bataille, qui a engagé la procédure après une plainte contre Facebook. Son objectif : faire interdire de tels transferts. Il avait déjà fait invalider en 2015 un accord similaire au "Bouclier de Protection des Données", le "Safe Harbor".

Comme pour tous les utilisateurs de Facebook résidant dans l'Union européenne, les données personnelles de Max Shrems sont transférées par Facebook Irlande vers des serveurs appartenant à la firme situés aux États-Unis, et y sont ensuite traitées. S'il n'a pas eu gain de cause après son premier dépôt de plainte, c'est cette fois chose faite. "Après une première lecture du jugement sur le Privacy Shield, il semble que nous ayons gagné à 100% - pour notre vie privée", réagit-il sur Twitter.

L'un des arguments des opposants aux transferts de données encadrées par le Privacy Shield est le fait que ces données peuvent être espionnées par les services de sécurité américains sans mesures de contrôle.

Un autre mécanisme validé

La CJUE a en revanche jugé valide un autre dispositif, "les clauses contractuelles type". Le modèle de contrat, défini par la Commission européenne, peut être utilisé par les entreprises pour exporter ses données, que ce soit vers une filiale, sa maison mère ou bien un tiers. 

C'est certainement vers ce mécanisme que vont se reporter les entreprises qui se référaient au "Privacy Shield". La décision d'invalider le  "Privacy Shield" n'est en réalité pas vraiment une surprise. Le commissaire européen à la Justice, Didier Reynders, avait assuré avant la décision que la Commission avait déjà anticipé plusieurs "scénarios".  "En fonction du contenu de la décision, on verra quels sont les outils - déjà préparés - à utiliser pour à la fois conforter les droits fondamentaux et vérifier que la protection donnée par l'UE voyage avec les données", avait-il expliqué à l'AFP.

Les données personnelles en ligne (comportements et préférences des utilisateurs, géolocalisation...) sont une mine d'or pour les géants du web, Facebook, Google, Amazon, Apple... Ce dernier a d'ailleurs fait l'objet d'un arrêt la veille, mercredi 15 juillet, en sa faveur cette fois. La justice européenne avait annulé la décision de la Commission : le remboursement par Apple de 13 milliards d'euros d'avantages fiscaux jugés indus.

Ce contenu n'est pas ouvert aux commentaires.