La justice européenne invalide l’accord EU-USA sur le transfert de données personnelles

Science

Par Antoine Gautherie le

La Cour de Justice de l’Union Européenne a invalidé le Privacy Shield, cet accord entre l’Union Européenne et les États-Unis qui prévoyait un accès privilégié aux données européennes par les entreprises américaines. Une décision lourde de conséquences qui pourrait bien forcer les GAFAM à revoir leur copie, voire à changer entièrement de paradigme sur la protection des données personnelles.    

© Luke Chesser – Unsplash

La Cour de Justice de l’Union européenne  (CJUE) a annulé ce jeudi l’accord Privacy Shield, qui permet aux entreprises du numérique d’utiliser les données personnelles de ressortissants européens aux États-Unis. En Europe, les données personnelles font l’objet d’une régulation très stricte, bien plus que dans de nombreux autres pays. Les États-Unis, en particulier, bénéficient d’une politique de gestion des données qu’on pourrait qualifier de très libérale comparée à son équivalent sur le Vieux Continent. Or, les entreprises de ce pays ne disposent pas uniquement de clients américains, et le problème de la gestion des données des européens par les entreprises de l’Oncle Sam a longtemps bénéficié d’un certain vide juridique savamment entretenu. C’est pour cette raison qu’en 2016, la CJUE a mis en place ce programme “Privacy Shield”, qui prévoit d’autoriser l’utilisation des données européennes par des entreprises américaines à condition de respecter certaines mesures.

Sauf que très rapidement après sa promulgation, le dispositif a été critiqué par les activistes et organisations de protection des données personnelles, y compris le G29, ce groupe qui rassemble diverses autorités européennes de défense de la vie privée. Les raisons invoquées étaient multiples. En premier lieu, il était jugé trop permissif pour les entreprises américaines, et bien loin des standards mis en places par la réglementation européenne comme le RGPD. Deuxièmement, il invalidait presque tous les recours dont pouvaient disposer les citoyens de l’Union Européenne. Et parmi eux, une personne en particulier s’était faite le porte-étendard de ces revendications : le militant autrichien Max Schrems, plaignant de premier plan dans cette affaire. À l’époque, il jugeait “très probable” que cet accord soit invalidé en raison de “ses nombreux manquements”.

Soupe à la grimace pour la tech nord-américaine

Et après plusieurs années de combat acharné, le camp de l’activiste a fini par obtenir gain de cause avec l’invalidation de l’accord. En pratique, cela signifie que les entreprises américaines devront désormais montrer patte blanche pour traiter des données européennes, en s’engageant individuellement au moyen de “clauses contractuelles” légalement contraignantes. Concrètement, cela signifie que les entreprises vont donc devoir négocier leur accès au cas par cas en fournissant un “haut niveau de garanties”. Une décision dont s’est évidemment réjoui Max Schrems sur Twitter .

Dans un article de son site None of Your Business, il explique qu’ “il est clair que les États-Unis vont devoir sérieusement changer leurs lois relatives à la surveillance, si elles veulent continuer de jouer un rôle majeur dans le marché européen. […] C’est un revirement fondamental, qui va bien plus loin que le transfert de données entre Europe et USA.” Du côté de l’Oncle Sam, la décision a été accueillie plutôt fraîchement, comme on pouvait s’y attendre. Le ministère américain du commerce s’est dit “profondément déçu” de cette décision. La Computer and Communications Industry Associations, un consortium de grandes entreprises de la tech qui comprend notamment Google et Amazon, a exprimé son inquiétude vis-à-vis de l’ “incertitude légale” supposément créée par cette décision. La Business Software Alliance, qui rassemble entre autres Microsoft et Oracle, regrette une décision qui “élimine l’un des rares moyens fiables de transférer des données de l’autre côté de l’Atlantique”. Une déclaration cependant inexacte, puisque comme le rappelle Schrems, “l’invalidation du Privacy Shield ne va pas créer de vide juridique, et les flux de données indispensables [par exemple un simple e-mail envoyé de l’Europe aux USA, ndlr] pourront toujours circuler. LesÉtats-Unis sont simplement renvoyés à leur statut de pays normal, sans accès particulier aux données européennes.

Facebook dans la tourmente ?

Parmi les entreprises qui vont certainement faire les frais de cette décision, il semble légitime de s’intéresser au cas de Facebook, et par extension à la législation irlandaise. Ces deux acteurs forment depuis plusieurs années un couple inséparable. Grâce à des lois très permissives, l’entreprise de Mark Zuckerberg s’est offert un point de chute à la situation fiscale particulièrement avantageuse. L’Irlande, de son côté, fait tout pour la choyer et l’inciter à rester… quitte à se retrouver accusée par certains observateurs de “fermer les yeux” sur les pratiques du groupe en matière de données personnelles, mises en lumière par plusieurs scandales successifs. Pour Schrems, cette décision signifie aussi que “la commission de protection des données irlandaise va devoir faire son travail après sept ans d’inaction. Ce type d’agence a un devoir d’action et ne peut pas se contenter de fermer les yeux […]  Les autorités comme la commission de protection des données irlandaise ont sapé le succès du RGPD jusque-là. La cour dit clairement qu’elles doivent se mettre au travail et faire respecter la loi.”

Concrètement, cela signifie que l’Irlande va être sommée de taper sur les plumes de sa poule aux œufs d’or. Ce qu’elle n’aura clairement aucune envie de faire, dans la mesure où les deux ont développé une relation quasi-symbiotique dont la rupture serait très douloureuse. Pourtant, Facebook va bel et bien devoir revoir ses pratiques en profondeur car le transfert de données personnelles tel qu’il était opéré jusqu’à aujourd’hui est désormais illégal suite à l’invalidation du Privacy Shield, ce qui place évidemment la marque dans une position inconfortable. L’entreprise, qui dit “accepter” cette décision, aurait par ailleurs sollicité Steve Peers, professeur universitaire de droit anglais et spécialiste de la législation européenne, pour rédiger un avis légal contraire à celui de la CJEU. Il explique cependant avoir refusé.

Dans les semaines à venir, il faudra donc suivre l’évolution de cette affaire avec une attention toute particulière, puisqu’elle pourrait conditionner l’arrivée d’un nouvel accord, cette fois-ci plus équilibré. La CJUE et le département du commerce américain ont déjà annoncé la tenue de négociations, mais une chose est sûre : les États-Unis mais aussi l’Irlande ne seront plus en position de force. Mais l’Oncle Sam ne se laissera pas faire et compte apparemment bien rentrer dans un rapport de force avec les autorités européennes; quelques heures après le verdict, des responsables américains ont expliqué que des changements au régime de surveillance n’étaient “ni souhaitables, ni possibles” en l’état.

Source: Le Monde