Camille Gruhier
La justice européenne invalide le Privacy Shield
La Cour de justice de l’Union européenne (CJUE) vient d’invalider l’accord qui encadrait le transfert des données personnelles des consommateurs européens vers les États-Unis, baptisé « Privacy Shield » (bouclier de protection). Les défenseurs des libertés, dont fait partie l’UFC-Que Choisir, se réjouissent de cette décision ; les entreprises américaines du numérique, comme Facebook ou Microsoft, un peu moins. Décryptage.
La justice européenne ne lâche pas l’affaire quand il s’agit de protéger nos données personnelles. Après avoir annulé l’accord « Safe Harbor » en 2015, la Cour de justice de l’Union européenne (CJUE) vient d’invalider le « Privacy Shield », qui lui avait succédé. Contesté par les Cnil européennes, et malgré les inquiétudes formulées à plusieurs reprises par l’UFC-Que Choisir, ce nouvel accord avait été adopté en juillet 2016 pour encadrer le transfert des données personnelles des consommateurs européens vers les États-Unis. En l’invalidant, la Cour prive les entreprises américaines d’un outil juridique majeur. Elle envoie aussi à leur gouvernement un message à forte portée symbolique : la justice européenne ne laissera pas les données de ses ressortissants en pâture aux règles américaines, trop souples en matière de respect de la vie privée.
La Cour fonde sa décision sur un simple constat : au pays de Donald, nos données personnelles ne bénéficient pas du même niveau de protection que sur le Vieux Continent. Or c’est une condition sine qua non pour qu’une société américaine basée en Europe transfère des données vers les États-Unis, selon le RGPD (Règlement général sur la protection des données). La Cour a tiqué sur plusieurs points dont le Privacy Shield se satisfaisait. Le fait, notamment, que les autorités américaines puissent accéder à nos données « à des fins de sécurité publique, de défense et de sûreté de l’État ». Aux États-Unis, la loi autorise par exemple la NSA (National Security Agency) à surveiller les communications électroniques de tous les citoyens. Les services de renseignement américains sont aussi autorisés à procéder à des collectes massives et indifférenciées des données personnelles. En Europe, où l’accès aux données est strictement réglementé (1), ce point est plutôt interprété comme… de la surveillance généralisée.
Outre sa portée symbolique forte, l’annulation du Privacy Shield a des conséquences immédiates pour les géants du numérique. Facebook, Google, Microsoft et les autres sont en effet contraints de se rabattre sur d’autres outils juridiques pour continuer à transférer légalement les données de leurs abonnés et clients européens. Il en existe : l’Europe met à disposition de tous les pays différents contrats aux douces appellations juridiques (« décision d’adéquation », « clauses contractuelles types », « règles d’entreprises contraignantes »…). Mais ces outils, tout aussi exigeants en matière de respect des droits fondamentaux, sont moins adaptés à la situation américaine du fait des enjeux de géopolitique entre les deux puissances mondiales que sont les États-Unis et l’Europe. Washington et Bruxelles devront probablement se rasseoir autour de la table pour trouver un nouvel accord. Les associations de consommateurs européennes tâcheront de s’y inviter.
(1) Loi n° 2015-912 du 24 juillet 2015 relative au Renseignement.