Données personnelles : l’accord UE-USA invalidé

Les défenseurs des libertés individuelles ont crié victoire jeudi après l’invalidation par la justice européenne d’un mécanisme crucial de transfert des données personnelles en ligne entre l’UE et les Etats-Unis, jugé trop peu protecteur face aux programmes de surveillance américains.

 

Cette décision était très attendue. Elle va toutefois fragiliser les entreprises opérant dans l’UE qui transfèrent ou font héberger des données outre-Atlantique, en les plongeant dans un flou juridique.

 

Le juriste autrichien Max Schrems, figure de la lutte pour la protection des données, qui était à l’origine de l’affaire via une plainte contre Facebook, est lui ravi.

 

"Il semble que la Cour nous ait suivis sur tous les aspects", a réagi celui qui s’était fait connaître en obtenant déjà la retentissante annulation, en 2015, d’un accord similaire entre l’UE et les Etats-Unis.

 

"Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen", a-t-il ajouté.

 

Le juriste réclamait l’interruption du flux de données entre le siège européen du géant américain, en Irlande, et sa maison mère en Californie, où elles sont selon lui moins protégées, car elles peuvent être réclamées par des agences de renseignement, comme la NSA ou le FBI, sans recours, ni contrôle, comme l’ont montré les révélations du lanceur d’alerte Edward Snowden.

 

Plusieurs ONG ont aussi salué cet arrêt, comme Access Now, qui évoque "une victoire pour la vie privée" et "une décision qui fera date".

5 images
© EVN

Bouclier de protection

Dans son arrêt, la cour de Justice de l’UE (CJUE) estime que l’accord UE-USA (baptisé "Privacy Shield" ou bouclier de protection en français) rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées, car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité au strict nécessaire".

 

La Cour souligne aussi que cette réglementation ne fournit pas "de garanties pour les personnes non américaines potentiellement visées, ni ne leur propose de droits opposables aux autorités américaines devant les tribunaux".

5 images
© EVN

Incertitude juridique

"Cette décision crée une incertitude juridique pour les milliers de petites et grandes entreprises des deux côtés de l’Atlantique", a déploré pour sa part Alexandre Roure, du CCIA, le lobby des géants de la tech à Bruxelles.

 

Le commissaire européen à la Justice, Didier Reynders, avait assuré avant la décision que la Commission avait déjà préparé plusieurs "scénarios".

 

"En fonction du contenu de la décision, on verra quels sont les outils, déjà préparés, à utiliser pour à la fois conforter les droits fondamentaux et vérifier que la protection donnée par l’UE voyage avec les données", avait-il expliqué à l’AFP.

 

"L’ambition est de réagir ensemble […] du côté européen comme du côté américain", avait-il assuré.

Ce jeudi après-midi lors d'un point presse de la commission européenne, Didier Reynders a tenu a préciser : "La première étape sera de partager notre analyse avec nos homologues américains, pour voir si nous avons la même lecture de ce jugement, et ensuite nous verrons quelles seront les prochaines étapes possibles."
 

A quoi Vera Jourova, vice-présidente de la Commission européenne a ajouté : 
"Je sais que citoyens et entreprises des deux côtés de l'Atlantique cherchent aujourd'hui à être rassurés. Je tiens donc à préciser que nous poursuivrons notre travail pour assurer la continuité de flux de données de façon sécurisée."

5000 entreprises américaines, dont 70% de PME, utilisent le "Privacy Shield". Elles pourraient rapidement se rabattre sur un autre mécanisme permettant le transfert de données de l’UE vers le reste du monde : les "clauses contractuelles type".

 

Il s’agit d’un modèle de contrat défini par la Commission européenne, que toute entreprise peut utiliser pour exporter ses données, par exemple vers une filiale, sa maison mère ou un tiers.

5 images
© AFP

Défaite écrasante

La CJUE a jugé ce mécanisme valide, mais a rappelé que les autorités chargées de la protection des données dans les pays de l’UE devaient suspendre ou interdire les transferts si les lois du pays de destination ne sont pas suffisamment protectrices.

 

Les données personnelles concernées (comportement en ligne, géolocalisation…) constituent une mine d’or de l’économie numérique, en particulier pour les géants comme Google, Facebook ou Amazon.

 

Mais une entreprise qui transfère des données d’un pays à l’autre entre ses filiales, par exemple pour gérer la paye de ses employés, est aussi touchée.

 

L’eurodéputée néerlandaise Sophie in 't Veld (Renew) a salué "une victoire pour la protection des données personnelles, mais une défaite écrasante pour la Commission".

 

L’invalidation du "Privacy Shield" constitue un nouveau désaveu pour Bruxelles après l’annulation mercredi de sa décision exigeant d’Apple le remboursement de 13 milliards d’euros, jusqu’alors considérés comme des avantages fiscaux indus.

Déception américaine et inquiétude britannique

Dans un communiqué du ministère du Commerce, les Etats-Unis n’ont pas caché leur déception suite à la décision de la justice européenne.

Washington continuera toutefois à travailler avec la Commission européenne, et étudie la décision de justice en détail pour en comprendre tous les effets concrets, a affirmé Wilbur Ross, le secrétaire américain au Commerce.

" Nous espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernement respectifs" a ajouté M. Ross.

5 images
© commons.wikimedia.org

La commissaire européenne aux Valeurs et à la transparence, Vera Jourova, a promis de travailler "en étroite collaboration" avec les Américains.

La décision pourrait aussi avoir des conséquences sur la négociation du Brexit, puisque le Royaume-Uni espérait obtenir de l’UE un accord similaire à celui tout juste invalidé avec les Etats-Unis.

 

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK