BFM Tech

Données personnelles : l'accord entre l'UE et États-Unis invalidé par la justice européenne

AFP

AFP - AFP

La justice européenne a invalidé un accord de transfert de données entre Européens et Américains datant de 2016.

Les Etats-Unis se disent "profondément déçus" par cette décision: la Cour de justice de l'Union européenne a mis fin ce 16 juillet à un mécanisme crucial de transfert de données personnelles en ligne entre l'UE et les Etats-Unis. Une décision susceptible de fragiliser les entreprises opérant dans l'UE qui transfèrent ou font héberger des données outre-Atlantique, désormais plongées dans un flou juridique.

Elle a en revanche été applaudie par le juriste autrichien Max Schrems, figure de la lutte pour la protection des données, à l'origine de l'affaire via une plainte contre Facebook.

Il réclamait l'interruption du flux de données entre le siège européen du géant américain, en Irlande, et sa maison-mère en Californie, où elles sont selon lui moins protégées, car elles peuvent être réclamées par des agences de renseignement, comme la NSA ou le FBI, sans recours, ni contrôle, comme l'ont montré les révélations du lanceur d'alerte Edward Snowden.

"Il semble que la Cour nous a suivis sur tous les aspects", a affirmé celui qui s'était fait connaître en obtenant déjà la retentissante annulation, en 2015, d'un accord similaire entre Bruxelles et Washington.
"Les États-Unis devront modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen", a-t-il ajouté.

La Cour de justice de l'UE (CJUE) estime dans son arrêt que l'accord UE-USA - baptisé "Privacy Shield" ("bouclier de protection", ndlr) - rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées", car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité "au strict nécessaire".

Cette réglementation ne fournit pas, en outre, "de garanties pour les personnes non américaines potentiellement visées", ni ne leur propose de "droits opposables aux autorités américaines devant les tribunaux".

"Cette décision crée une incertitude juridique pour les milliers de petites et grandes entreprises des deux côtés de l'Atlantique", a déploré Alexandre Roure, du CCIA, le lobby des géants de la tech à Bruxelles, qui appelle les Bruxelles et Washington à "une solution durable".

La commissaire européenne aux Valeurs et à la transparence, Vera Jourova, a promis de travailler "en étroite collaboration" avec les Américains. De son côté, le secrétaire américain au Commerce, Wilbur Ross, a dit espérer "pouvoir limiter les conséquences négatives pour la relation économique transatlantique". 

Les 5.000 entreprises américaines - dont 70% de PME - qui utilisent le "Privacy Shield" pourraient rapidement se rabattre sur un autre mécanisme permettant le transfert de données de l'UE vers le reste du monde: les "clauses contractuelles type".

Il s'agit d'un modèle de contrat défini par la Commission européenne, que toute entreprise peut utiliser pour exporter ses données, par exemple vers une filiale, sa maison mère ou un tiers.

Mine d'or

La CJUE a jugé jeudi ce mécanisme valide, mais rappelé que les autorités chargées de la protection des données dans l'UE devaient suspendre ou interdire les transferts si les lois du pays de destination ne sont pas suffisamment protectrices.

Les données personnelles concernées (comportement en ligne, géolocalisation...) constituent la mine d'or de l'économie numérique, en particulier pour les géants comme Google, Facebook ou Amazon.

Mais une entreprise qui transfère des données d'un pays à l'autre entre ses filiales, par exemple pour gérer la paye de ses employés, est aussi touchée.

Plusieurs ONG ont salué cet arrêt, comme Access Now, qui évoque "une victoire pour la vie privée" et "une décision qui fera date". L'eurodéputée néerlandaise Sophie in 't Veld (Renew, libéral) a salué "un succès pour la protection des données personnelles, mais une défaite écrasante pour la Commission".

L'invalidation du "Privacy Shield" constitue un nouveau désaveu pour Bruxelles après l'annulation mercredi de sa décision exigeant d'Apple le remboursement de 13 milliards d'euros, jusqu'alors considérés comme des avantages fiscaux indus.

La décision pourrait aussi avoir des conséquences sur la négociation du Brexit, puisque le Royaume-Uni espérait obtenir de l'UE un accord similaire à celui tout juste invalidé avec les Etats-Unis.

https://twitter.com/GrablyR Raphaël Grably avec AFP Chef de service BFM tech