C’est un coup de tonnerre juridique dans le ciel transatlantique. Jeudi 16 juillet, la Cour de justice de l’Union européenne (CJUE) a annoncé avoir invalidé la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. C’est une décision cruciale, car elle concerne le transfert de données personnelles des Européens, donc les vôtres, vers les États-Unis.
Mais de quoi parle-t-on ?
Rappel des faits.
Jusqu’en 2015, l’envoi de données personnelles de l’Europe vers les USA était encadré par un dispositif baptisé « Safe Harbor ». Mais par l’action en justice d’un Autrichien, ce mécanisme a été annulé en octobre de cette année-là, déjà par la CJUE. Les révélations d’Edward Snowden en 2013 sur la surveillance de masse mise en place les services de renseignement américains avaient à l’époque joué un rôle important, car elles montraient un niveau de protection insuffisant pour les Européens.
Pour éviter de laisser un vide entre les deux rives de l’Atlantique, un nouveau cadre a été mis sur pied dès l’année suivante, en 2016 : le bouclier de protection des données UE-États-Unis, ou « Privacy Shield ». Celui-ci est décrit comme plus protecteur que le « Safe Harbor ». C’est la position de Bruxelles, qui l’a validé à chaque réexamen annuel. Mais ni les CNIL du Vieux Continent, ni le Parlement européen, ni le Conseil national du numérique, ni les associations de la société civile ne partageaient ce point de vue.
À cette liste, on peut donc ajouter maintenant la Cour de justice de l’Union européenne, qui va obliger Bruxelles et Washington à renégocier un accord. Et comme le fait remarquer le professeur de droit Théodore Christakis, spécialiste de droit international public, c’est une fois encore les programmes de surveillance américains qui posent problème, car ils « ne sont pas limités à ce qui est strictement nécessaire et ne sont donc pas conformes aux standards européens ».
Dans son communiqué, la Cour fait observer qu’il n’y avait aucune garantie juridique pour des personnes non américaines potentiellement visées par ces programmes. Ainsi, il est relevé que la réglementation américaine « ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux », tandis que « l’accès et l’utilisation, par les autorités publiques américaines » des données à caractère personnel ne sont pas assez encadrés.
Pour la justice européenne, les programmes de surveillance américains ne sont pas assez bien encadrés
Pour l’Autrichien à l’origine des invalidations du « Safe Harbor » et du « Privacy Shield », cet arrêt est une bonne nouvelle.
« Je suis très heureux de ce jugement. Il semble que la Cour nous ait suivis dans tous les aspects. […] Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance, si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen », écrit-il. « La Cour a clarifié pour la deuxième fois maintenant qu’il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance.»
En somme, c’est le droit américain qui pose problème : si celui-ci n’est pas modifié de façon substantielle, il est à prévoit d’autres annulations du même ordre devant les tribunaux si Washington ne s’attaque pas à une réforme plus ambitieuse. « Comme l’UE ne modifiera pas ses droits fondamentaux pour satisfaire la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de protection de la vie privée pour tous, y compris les étrangers ».
Et maintenant ?
Reste une question : l’invalidation prononcée ce jour signifie-t-elle qu’il n’y a plus du tout de transfert entre les deux rives de l’Atlantique ? C’est aller un peu vite en besogne.
Si la Cour a bien annulé le « Privacy Shield », elle a par contre validé les clauses contractuelles types de la Commission européenne. Il s’agit d’un autre dispositif qui sert lui aussi à encadrer l’envoi des données personnelles aux USA. Elles servent lorsque des transferts se font en dehors de l’Union, en vue de « faciliter la tâche » des entreprises et des sous-traitants des autres pays. Autrement dit, si l’accord général n’est pas bon, des accords individuels peuvent l’être.
Deux subtilités sont toutefois à relever. Si le principe des clauses contractuelles types est approuvé, c’est à la condition que les entreprises et les sous-traitants qui y font appel se montrent en phase avec la législation européenne. C’est ce que relève l’avocat Étienne Wery sur son site : l’exportation de données n’est possible que si le niveau de protection est suffisant et respecté. Dans le cas contraire, ce transfert doit être suspendu ou interdit. Reste à pouvoir s’en assurer.
Ensuite, les clauses contractuelles types ne peuvent pas être utilisées par des entreprises qui, justement, sont sous surveillance américaine. C’est ce qu’analyse l’association Noyb, fondée par Maximilian Schrems, l’Autrichien à l’origine de toute cette affaire. « L’arrêt indique clairement que les entreprises ne peuvent pas se contenter de signer les clauses , mais qu’elles doivent également vérifier si elles peuvent les respecter dans la pratique », commence-t-il.
Un vrai casse-tête pour les géants du net.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !