Bis repetita. Fin 2015, la Cour de Justice européenne annulait, suite à une plainte de l'activiste autrichien Max Schrems, le Safe Harbor, le mécanisme juridique encadrant le transfert de données entre l'Europe et les Etats-Unis. La raison ? Le Safe Harbor n'était pas jugé assez protecteur pour les données des Européens, alors que le lanceur d'alerte Edward Snowden avait révélé deux ans plus tôt l'ampleur de la surveillance de masse pratiquée par les Etats-Unis grâce aux outils numériques. Dans l'urgence, l'UE avait pondu une nouvelle réglementation, le Privacy Shield, voulu comme beaucoup plus sécurisant pour les Européens.
Mais là encore, la Cour de Justice européenne estime que le compte n'y est pas. Dans un arrêt rendu jeudi 16 juillet, la justice européenne a invalidé le Privacy Shield en raison du risque que font peser les programmes de surveillance américains sur la protection des données des Européens. Et encore une fois, cette décision est l'aboutissement de l'activisme de Max Schrems, cette fois auprès du régulateur irlandais, qui réclamait l'interruption des flux de données entre le siège européen de Facebook, en Irlande, et sa maison-mère en Californie. Le défenseur des droits estimait que ces données sont moins protégées aux Etats-Unis car elles peuvent être réclamées par des agences de renseignement comme la NSA ou le FBI, sans possibilité de recours ni de contrôle. La CJUE a donc choisi d'aller dans son sens.
Une victoire incomplète pour les défenseurs de la vie privée car les "clauses contractuelles type" restent en place
Concrètement, la Cour de justice de l'UE (CJUE) estime dans son arrêt que le Privacy Shield rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées" vers les Etats-Unis, car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité "au strict nécessaire".
Pour Alexandre Roure, du CCIA, le lobby des géants de la tech à Bruxelles, cette décision ouvre une ère d'incertitudes pour les 4.500 entreprises américaines implantées sur le Vieux Continent, qu'il s'agisse des géants du Net comme les Gafam, mais surtout des entreprises de taille plus modeste pour lesquelles les transferts de données sont indispensables au bon fonctionnement.
"Cette décision crée une incertitude juridique pour les milliers de petites et grandes entreprises des deux côtés de l'Atlantique qui comptent sur le Privacy Shield pour leurs transferts quotidiens de données commerciales. Nous espérons que les décideurs européens et américains élaboreront rapidement une solution durable, conforme au droit européen, pour garantir la poursuite des flux de données", a-t-il réagi.
En revanche, cette décision est interprétée comme une victoire "à 100%" par Max Schrems. "Les États-Unis devront engager une sérieuse réforme de la surveillance pour revenir à un statut privilégié pour les entreprises américaines" leur permettant de transférer des données, a-t-il ajouté sur Twitter.
Mais cette victoire du défenseur de la vie privée est toutefois à nuancer. Car la CJUE a jugé valide un autre mécanisme permettant le transfert de données de l'UE vers le reste du monde : les "clauses contractuelles type". Il s'agit d'un modèle de contrat défini par la Commission européenne, que toute entreprise peut utiliser pour exporter ses données, par exemple vers une filiale, sa maison mère ou un tiers, en vue de simplifier la tâche des entreprises chapeautant ces opérations. Or, l'annulation des clauses contractuelles type était l'un des principaux objectifs de Max Schrems, qui estime qu'elles sont suffisantes pour permettre la surveillance de masse par les agences de renseignement américaines.
Les clauses contractuelles types, un recours pour les entreprises touchées par l'annulation du Privacy Shield
La décision de la CJUE ne va donc pas créer le chaos juridique redouté par les partisans du maintien du Privacy Shield, car les entreprises touchés par la décision sur le Privacy Shield devraient se reporter sur le mécanisme des clauses contractuelles type.
Le commissaire européen à la Justice, Didier Reynders, avait assuré avant la décision que la Commission avait déjà anticipé plusieurs "scénarios". "En fonction du contenu de la décision, on verra quels sont les outils - déjà préparés - à utiliser pour à la fois conforter les droits fondamentaux et vérifier que la protection donnée par l'UE voyage avec les données", avait-il expliqué à l'AFP. "L'ambition est de réagir ensemble (...) du côté européen comme du côté américain", avait-il assuré.
Les données personnelles concernées (comportement en ligne, géolocalisation...) constituent "la mine d'or" de l'économie numérique, en particulier pour les géants comme Google, Facebook ou Amazon. Mais une entreprise qui transfère des données d'un pays à l'autre entre ses filiales, par exemple pour gérer la paye de ses employés, est aussi concernée.
Nouveau revers pour Bruxelles dans sa politique numérique
C'est la deuxième fois en deux jours que la Cour de justice européenne invalide une politique impulsée par Bruxelles, qui envoie le signal que les décisions de la Commission européenne sont soit trop sévères, soit pas assez, et juridiquement fragiles.
Mercredi 14 juillet, les juges européens ont annulé la décision de la Commission européenne exigeant d'Apple le remboursement à l'Irlande de 13 milliards d'euros, jusqu'alors considérés comme des avantages fiscaux indus. Une énorme victoire pour Apple, louée également par l'Irlande, qui tient à son statut fiscal lui permettant d'attirer les sièges sociaux de la plupart des géants du Net américains en raison de son taux d'imposition sur les sociétés largement inférieur à celui de la plupart des autres pays européens. Mais un échec majeur pour la vice-présidente de la Commission européenne Margrethe Vestager, chargée de la concurrence.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés