La justice européenne invalide le Privacy Shield
Juridique : La Cour de justice européenne annonce l’invalidation du « Privacy Shield », le dispositif légal encadrant les transferts de données entre l’Europe et les Etats-Unis. Max Schrems, l’activiste autrichien à l’origine de la procédure, salue la décision.
La cour examinait plus particulièrement deux décisions de la Commission européenne : la décision 2010/87, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, et la décision 2016/1250, qui instaurait la mise en place du fameux « Privacy Shield ». Si la cour n’invalide pas la décision 2010/87, elle remet en revanche en cause la seconde et invalide purement et simplement le Privacy Shield mis en place en 2016.
Les juges expliquent dans leur communiqué avoir cherché à déterminer si la décision 2016/1250 était en accord avec le RGPD, le texte qui encadre en Europe la question des données personnelles. Le nœud du problème se trouve dans les dispositifs légaux mis en place aux Etats-Unis pour permettre aux services de renseignement et aux autorités d’accéder aux données manipulées par les entreprises américaines (on pense par exemple au Cloud Act). La Cour estime ainsi que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ». En d’autres termes : la législation américaine n’offre pas autant de garanties que les législations européennes en matière de protection des données, notamment dans les cas de figure autorisant les autorités à accéder aux données.
En outre, la Cour estime que le mécanisme de recours offert par les Etats-Unis « ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union ». En se basant sur ces deux constats, la CJUE déclare la décision « Privacy Shield » invalide.
Safe Harbor, Privacy Shield… et après ?
Dans un communiqué, l’association noyb, qui soutient la procédure de Maximilian Schrems, salue la décision de la cour « qui semble nous avoir suivis sur tous les points ». Schrems estime ainsi que « La Cour a clarifié pour la deuxième fois qu’un conflit existe entre la loi européenne sur la vie privée et la loi américaine sur la surveillance. Comme l’UE ne changera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter ce conflit est que les Etats-Unis introduisent des protections de la vie privée pour tous, y compris les étrangers. La réforme des lois de surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley ».
Cette décision est un nouvel acte dans le conflit qui oppose depuis plusieurs années Max Schrems à Facebook, et qui remodèle le droit en matière d’échange de données à l’international. La mise en œuvre du Privacy Shield était déjà intervenue suite à une première décision rendue dans cette affaire en octobre 2015, qui invalidait le dispositif du « Safe Harbor ». Le Safe Harbor était « un ensemble de principes de protection des données personnelles, négociées entre les autorités américaines et la Commission européenne en 2001 », permettant les transferts de données entre l’Europe et les Etats-Unis.
L’invalidation de celui-ci par la CJUE avait conduit la Commission européenne à proposer une nouvelle directive, dite « Privacy Shield », visant à combler le vide le 1er août 2016. Mais ce nouveau texte était vivement critiqué, dès son entrée en application, par les organisations militantes autant que par les autorités de protection des données personnelles. Avec sa nouvelle décision, la CJUE relance donc les débats autour du cadre légal des transferts de données entre l’Europe et les Etats-Unis.
Source : ZNet
Lire également : CNIL – Invalidation du « Privacy shield » : la CNIL et ses homologues analysent actuellement ses conséquences
Laisser un commentaire