La Cour de justice de l'Union européenne a invalidé, jeudi, la décision qui permettait un transfert des données personnelles entre la zone euro et les États-Unis, et provoquait des ingérences dans les droits des citoyens européens.
C'est un vrai coup dur pour les géants américains du numérique. En 2016, la Commission européenne avait scellé le Privacy Shield avec les États-Unis. Cet accord, qui faisait office de bouclier de protection des données, permettait aux entreprises du secteur de transférer des données personnelles entre l'UE et les USA en toute légalité. Et même s'il était encadré, celui-ci n'a pas été jugé suffisamment protecteur par la Cour de justice de l'Union européenne (CJUE), qui a décidé de l'annuler officiellement, dans une décision rendue publique ce jeudi 16 juillet.
Le RGPD a permis de réétudier la décision
Bien avant l'accord, le libre transfert des données entre les deux continents avait suscité une vive contestation du ressortissant autrichien et activiste bien connue des GAFA Maximilian Schrems, qui souhaitait que ses données Facebook ponctionnées par la filiale irlandaise du réseau ne soient pas transférées à la maison-mère américaine, sous prétexte « que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays ».
La plainte de Max Schrems avait fait l'objet d'un rejet, mais l'autorité de contrôle irlandaise des données l'avait invité à retenter sa chance, ce qui fut l'occasion pour lui de maintenir son affirmation première et d'aboutir, en 2016, à l'adoption de la décision relative à l'adéquation de la protection assurée par le bouclier de protection des data UE/USA.
Mais la Cour de justice de l'Union européenne a par la suite été interrogée sur l'applicabilité du RGPD, entré en vigueur après le prononcé de la décision. Et cette fois-ci, elle a jugé que la protection des données des citoyens européens n'était pas suffisamment assurée.
La CJUE juge la protection des citoyens européens insuffisante face aux autorités américaines
Concernant la décision de 2016, la CJUE estime dans un premier temps que le transfert des données à des fins de sécurité nationale, d'intérêt public ou de respect de la législation américaine peut être autorisé et peut aussi permettre des ingérences dans les droits fondamentaux des personnes situées dans l'Union européenne.
Mais la Cour estime par la suite que les limitations de la protection des données à caractère personnel provenant des règles américaines « ne sont pas encadrées d'une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».
Rien ne garantit véritablement, en l'état, la protection de personnes non américaines pouvant être visées par des injonctions outre-Atlantique. Les programmes de surveillance américains n'offrent en effet pas le droit aux citoyens de l'UE de s'opposer aux autorités américaines devant les tribunaux. Ce qui demeure un problème fondamental pour les citoyens européens. La décision ne manquera pas de faire réagir de l'autre côté de l'Atlantique, où Donald Trump n'apprécierait justement pas le jugement rendu par la Cour européenne.
Source : Décision de la CJUE
