La Cour de justice européenne a jugé le 16 juillet dernier que les outils de surveillance déployés aux Etats-Unis sont incompatibles avec la protection des données personnelles garantie aux Européens par le RGPD. Elle a invalidé l'accord global que constituait le Privacy Shield, mais confirme que les entreprises peuvent se conformer à la loi européenne en s'engageant, individuellement, à respecter certaines précautions quant à l'usage des données de leurs utilisateurs européens. Cette décision va chambouler les entreprises du numérique et leurs clients...
La Cour a par ailleurs confirmé la validité d'un autre mécanisme juridique : les clauses contractuelles types (SCC pour Standard Contractual Clauses). Ces clauses permettent aux entreprises européennes de partager légalement des données en dehors du continent… à condition que les lois du pays de destination soient compatibles avec la réglementation européenne ou que les garde-fous apportés soient suffisants.
Privacy Shield : un bouclier qui ne protégeait pas assez
Cette décision n'est pas une première. C'est la deuxième fois en effet que la Cour européenne annule un accord de partage de données entre l'Union européenne et les Etats-Unis.
Tout comme le Safe Harbour qui a été annulé en 2015 par Max Schrems, la Cour a estimé que le Privacy Shield donnait la primauté à la sécurité nationale américaine et aux services de renseignements des Etats-Unis sur les droits des citoyens européens.
Les juges européens ont estimé que les lois américaines, notamment celles sur la surveillance des communications électroniques qui donnent des pouvoirs très larges à la NSA, ne garantissent pas une protection équivalente aux citoyens européens à celles du RGPD.
Concrètement, cela signifie que les données personnelles des Européens ne pourront plus être envoyées et traitées dans des serveurs situés sur le sol américain.
Des entreprises américaines dans l'embarras
Le Privacy Shield est utilisé par la quasi-totalité des grandes entreprises américaines pour traiter les données personnelles de leurs clients européens. Très strictement réglementée en Europe, l'utilisation de ces données est moins encadrée aux Etats-Unis. Le Privacy Shield prévoyait donc une dérogation aux entreprise américaine de pouvoir utiliser les données des clients de l'Union sous certaines conditions à respecter.
Les échanges de données entre les deux continents ne sont pas totalement interrompus. La décision ne concerne que les données personnelles de citoyens européens. De plus, elle ne s'applique pas aux transferts "nécessaires" vers les Etats-Unis. Mais cela reste un bouleversement pour les grosses entreprises du numérique, incertaines de pouvoir continuer à utiliser les SCC.
Bien que la Cour ait estimé que les SCC étaient juridiquement valables, elle impose en effet que tout accord de données tienne compte du système juridique du pays qui reçoit les données, et de la manière dont les gouvernements et les autorités publiques de ces pays peuvent accéder aux données des citoyens de l'Union.
