Victoire pour Max Schrems, figure de la lutte pour la protection des données, contre le géant américain Facebook. À l’origine de l’affaire, le juriste autrichien avait attaqué le mécanisme de transfert de données personnelles entre l’Union européenne (UE) et les États-Unis, baptisé Privacy Shield, au nom de la protection de la vie privée. Sa plainte auprès du régulateur irlandais réclamait l’interruption du flux de données entre le siège européen de Facebook, en Irlande, et sa maison-mère en Californie.
Des « ingérences possibles »
La Cour de justice de l’UE (CJUE) a estimé dans son arrêt publié jeudi 16 juillet que ce bouclier rend « possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées » vers les États-Unis, car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité « au strict nécessaire ».
Elle souligne aussi que cette réglementation ne fournit pas « de garanties pour les personnes non américaines potentiellement visées », ni ne leur propose de « droits opposables aux autorités américaines devant les tribunaux ».
En clair, le Privacy Shield fait peser trop de risques sur la protection des données des utilisateurs européens à cause des programmes de surveillance américains. Sentence : le « bouclier de protection » est non-conforme au RGPD.
https://twitter.com/maxschrems/status/1283708368419459072
« Nous avons gagné à 100 % »
« Après une première lecture du jugement sur le Privacy Shield, il semble que nous ayons gagné à 100 % – pour notre vie privée », a tweeté, juste avant de sabrer le champagne, celui qui s’était fait connaître en faisant déjà annuler en 2015 un accord similaire, .
« Les États-Unis devront engager une sérieuse réforme de la surveillance pour revenir à un statut privilégié pour les entreprises américaines » leur permettant de transférer des données, a-t-il ajouté.
Une « incertitude juridique »
Mais, « cette décision crée une incertitude juridique pour les milliers de petites et grandes entreprises des deux côtés de l’Atlantique qui comptent sur le Privacy Shield pour leurs transferts quotidiens de données commerciales », a réagi Alexandre Roure, du CCIA, le lobby des géants de la tech à Bruxelles auprès de l’AFP.
« Nous espérons que les décideurs européens et américains élaboreront rapidement une solution durable, conforme au droit européen, pour garantir la poursuite des flux de données », a-t-il ajouté.
Les 5 000 entreprises américaines – dont 70 % de PME – qui utilisent le Privacy Shield pourraient rapidement se rabattre sur un autre mécanisme permettant le transfert de données de l’UE vers le reste du monde, les « clauses contractuelles type ».
Il s’agit d’un modèle de contrat défini par la Commission européenne, que toute entreprise peut utiliser pour exporter ses données, par exemple vers une filiale, sa maison mère ou un tiers.
Dans son arrêt, la CJUE a validé ce mécanisme, mais elle a rappelé que les autorités chargées de la protection des données dans les pays membres devaient suspendre ou interdire les transferts si les lois du pays de destination ne sont pas suffisamment protectrices.
« Profondément déçus »
Outre-Atlantique, la déception est profonde. En réaction, les États-Unis se sont dits « profondément déçus » par la décision de la justice européenne, dans un communiqué du ministère du Commerce. Washington souhaite tout de même travailler avec la Commission européenne, et étudie la décision de justice en détail pour en comprendre tous les effets concrets, a affirmé Wilbur Ross, le secrétaire américain au Commerce.
Nous « espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7 100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernements respectifs », a ajouté Wilbur Ross.
« Une défaite écrasante pour la Commission »
C’est aussi un revers pour la Commission européenne – le deuxième essuyé cette semaine par l’institution après la décision invalidant sa sanction à l’encontre Apple.
L’eurodéputée néerlandaise Sophie in ‘t Veld (Renew) a salué « une victoire pour la protection des données personnelles, mais une défaite écrasante pour la Commission ».
Source : CJUE
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.