Dans un arrêt rendu sur question préjudicielle jeudi 16 juillet dernier, la Cour de justice de l’Union européenne (CJUE) a annulé l’accord unissant l’Union européenne et les États-Unis et portant sur le transfert des données personnelles, plus connu sous le nom de « Privacy Shield ».
Ce n’est pas la première fois qu’il est question de données personnelles entre les États-Unis et l’Union européenne. En effet, les principes du « Safe Harbour » permettaient à certaines entreprises américaines de certifier respecter la législation européenne sur les données personnelles, ce qui leur permettait ainsi de pouvoir transférer des données depuis l’Europe vers les Etats-Unis. Mais en 2015, la CJUE avait invalidé cet accord, en retenant que les États-Unis n’offraient pas un niveau suffisamment élevé de protection à l’égard des données à caractère personnel transférées.
Cet accord avait alors laissé la place à un autre, le Privacy Shield, adopté en 2016, que la CJUE vient à son tour d’invalider.
Le Privacy Shield est donc un accord entre les États-Unis et l’Union européenne, visant – comme son devancier – à permettre le transfert de données de l’Europe vers les États-Unis. Concrètement, il s’agit d’un mécanisme d’auto-certification utilisé par les entreprises américaines et validé par la Commission européenne.
En effet, le traitement des donnés personnelles est strictement encadré en Europe, depuis l’entrée en vigueur du règlement général pour la protection des données (RGPD), mais sensiblement moins outre-Atlantique. Il faut donc voir le Privacy Shield comme une dérogation au RGPD au bénéfice d’entreprises américaines, sous réserve de respecter certaines mesures en matière de traitement des données telles que la géolocalisation, le comportement en ligne ou l’identité numérique.
Pourtant, ce dispositif censé offrir les garanties d’un traitement des données relativement protecteur a été décrié assez rapidement. En effet, le G29, groupe rassemblant les autorités de protection des données personnelles des pays de l’Union européenne, a fait montre de critiques envers le dispositif, lui reprochant de ne pas empêcher la surveillance de masse opérée par les services américains. Autre point de crispation, l’accord prévoit que tout citoyen européen pourra demander réparation devant les tribunaux américain d’une mauvaise utilisation de ses données, mais ce système est bien trop complexe selon le G29, qui pointe son inefficacité potentielle pour les citoyens européens, en majorité non-anglophones. Enfin, le groupe attire l’attention sur la probable impuissance du nouveau médiateur américain chargé de traiter les plaintes, qui ne serait pas assez indépendant pour pouvoir exercer une telle mission.
Ces critiques ont été rejointes par celle de Max Schrems, militant autrichien pour la vie privée, déjà à l’origine de l’annulation du safe harbor. Cet activiste pointe en effet l’insuffisance du Privacy Shield au regard du RGDP, et prophétisait déjà son annulation par la CJUE.
Dans cette affaire opposant la Commission européenne à Facebook, la CJUE a donc annulé le Privacy Shield. Cela n’empêche toutefois pas les entreprises américaines de se conformer de manière individuelle à la législation européenne quant au traitement des données. C’est donc la validation des clauses contractuelles de transfert de données, qui doivent toutefois présenter un bon niveau de protection, notamment contre la surveillance de masse pratiquée par les agences fédérales américaines.
Max Schrems, encore une fois à l’initiative de la plainte, se félicite de ce qui est à ses yeux une victoire judiciaire contre l’ingérence des GAFAM et l’inaction de la commission irlandaise pour la protection des données. Les autorités américaines, de leur côté, se disent déçues par la décision et espèrent qu’elle n’aura pas de conséquences économiques par trop négatives.
Quoi qu’il en soit, des négociations sont à l’œuvre pour trouver un nouvel accord qui sera cette fois, espérons-le, plus proche du niveau de protection garanti par la législation européenne. L’avenir nous le dira…
