Doit-on donner nos données à qui les veut ? La CJUE répond non !

Elle n’était pas donnée cette victoire. Remettre en cause le transfert de données personnelles entre l’Europe et les Etats-Unis et les conditions de traitement de données outre-Atlantique n’était pas une mince affaire. Alors qu’un Règlement européen sur la protection des données personnelles doit entrer en vigueur courant 2016, la Cour de justice de l'Union européenne (CJUE) a rendu une décision historique en invalidant le Safe Harbor.

Une décision de la Commission européenne datant de 2000 avait constaté que les Etats-Unis offraient un niveau de protection des données personnelles équivalent aux prérogatives législatives européennes. C’est ainsi que naquit le fameux Safe Harbor, accord permettant à toute entreprise américaine de transférer librement des données collectées en Europe vers les Etats-Unis. Ainsi, Amazon, Facebook ou n’importe quelle entreprise basée de l’autre côté de l’Atlantique, pouvait transférer vos données collectées via votre profil français, vers les Etats-Unis, pour autant qu’elle ait adhéré aux principes du Safe Harbor.

Deux hommes sont venus briser les rêves d’autoroute américano-européenne de la donnée personnelle. Le premier s’appelle Edward Snowden ; il y a deux ans, il révélait que l’agence de surveillance américaine, la NSA, avait accès à toutes les données transitant par les entreprises américaines. Le second s’appelle Maximilian Schrems. Cet autrichien de 27 ans a déposé plainte auprès de l’autorité irlandaise de protection des données considérant qu’après les révélations d’Edward Snowden, les Etats-Unis n’offraient aucune protection réelle contre la surveillance de l’Etat américain. Grand bien lui en a pris ! La CJUE a en effet affirmé que le niveau de protection des données personnelles aux Etats-Unis portait atteinte au droit fondamental qu’est le respect de la vie privée. De ce fait, elle invalide le Safe Harbour et autorise toute autorité nationale de contrôle à examiner les plaintes de consommateurs par rapport au transfert de leurs données personnelles hors-Europe.

Cette décision est une victoire ! Une victoire pour l’UFC-Que Choisir qui a toujours considéré que l’internaute devait être protégé selon les règles que lui conférait sa situation géographique, indépendamment de l’emplacement des sociétés desquelles il était client.

Une victoire également pour l’Europe dès lors que les transferts de données vers les pays tiers se feront désormais sur la base des critères de la législation européenne. Les autorités de contrôle européennes travaillent actuellement à l’harmonisation de leurs positions. Je ne peux qu’espérer que cette décision donnera du poids aux négociateurs européens notamment dans le cadre des négociations sur le TTIP qui ne semblent pas prêtes à décoller. Cette décision souligne en effet les risques inhérents concernant le projet de « convergence règlementaire » entre deux continents dont les approches en matière de protection des consommateurs sont souvent opposées. Je resterai vigilant à ce que cet accord de libre-échange ne se transforme pas en un accord d’échange libre de droits pour les consommateurs.