Un accord majeur régissant le transfert des données des citoyens de l’UE vers les États-Unis a été annulé par la Cour européenne de justice (CJCE).

Le bouclier de protection des données UE-États-Unis permet aux entreprises de souscrire à des normes de confidentialité plus strictes, avant de transférer des données aux États-Unis.

Mais un défenseur de la vie privée a contesté l’accord, arguant que les lois américaines sur la sécurité nationale ne protégeaient pas les citoyens de l’UE contre les espionnages du gouvernement.

Max Schrems, l’Autrichien à l’origine de l’affaire, l’a qualifiée de victoire pour la vie privée.

« Il est clair que les États-Unis devront sérieusement modifier leurs lois de surveillance, si les entreprises américaines veulent continuer à jouer un rôle sur le marché européen », a-t-il déclaré.

Le secrétaire américain au Commerce, Wilbur Ross, a déclaré que son département était « profondément déçu » par cette décision.

Il a dit qu’il espérait « limiter les conséquences négatives » au commerce transatlantique d’une valeur de 7,1 billions de dollars (5,6 milliards de livres sterling).

Que se passe-t-il ensuite?

Le système du bouclier de protection des données UE-États-Unis «sous-tend le commerce numérique transatlantique» pour plus de 5 300 entreprises. Environ 65% d’entre eux sont des petites et moyennes entreprises (PME) ou des start-up, selon l’Institut européen de l’University College London.

Les entreprises concernées devront désormais signer des «clauses contractuelles types»: des contrats juridiques non négociables établis par l’Europe, qui sont utilisés dans d’autres pays que les États-Unis.

Ils sont déjà utilisés par de nombreux grands acteurs. Microsoft, par exemple, a publié une déclaration disant qu’il les utilise déjà et qu’il n’est pas affecté.

La dernière fois qu’un accord majeur comme celui-ci a été conclu en 2015 – également d’un cas impliquant Max Schrems – un délai de grâce a été instauré au fur et à mesure que les entreprises se demandaient quoi faire.

M. Schrems avait également contesté la validité des CSC, mais la CJCE a choisi de ne pas les abolir.

Mais il a averti que ces contrats devraient être suspendus par les chiens de garde de la protection des données, si les garanties qu’ils contiennent ne sont pas respectées.

Lois de surveillance

Le cas de M. Schrems a été en partie motivé par des fuites de l’ancien entrepreneur de la CIA Edward Snowden, qui ont révélé l’étendue de la surveillance américaine.

La loi européenne sur la protection des données stipule que les données ne peuvent être transférées hors de l’UE – aux États-Unis ou ailleurs – que si des garanties appropriées sont en place.

Mais la CJE a déclaré que « les programmes de surveillance américains … ne se limitent pas à ce qui est strictement nécessaire ».

• Facebook interrogé au tribunal sur les transferts de données
• Google et Facebook font face à des plaintes GDPR

« Les exigences de la sécurité nationale américaine, de l’intérêt public et de l’application de la loi ont la primauté, tolérant ainsi l’ingérence dans les droits fondamentaux des personnes dont les données sont transférées », a-t-il déclaré.

« Les limitations de la protection des données à caractère personnel découlant du droit interne des États-Unis … ne sont pas circonscrites d’une manière qui satisfait aux exigences. »

‘Geste audacieux’

« C’est une décision audacieuse de la part de l’Europe », a déclaré Jonathan Kewley, codirecteur de la technologie au cabinet d’avocats Clifford Chance.

« Ce que nous voyons ici ressemble étrangement à une guerre commerciale de la vie privée, où l’Europe dit que leurs normes de données peuvent être fiables, mais pas celles des États-Unis. »

Il a également averti que les clauses contractuelles types (CSC) seront désormais examinées beaucoup plus attentivement.

L’expert en protection des données Tim Turner a accepté, affirmant que l’avertissement de la CJE concernant les clauses standard pourrait créer des problèmes supplémentaires pour les entreprises américaines.

«Si la loi du pays concerné – disons les États-Unis – pouvait annuler ce que dit le contrat, elle ne fonctionnera pas», a-t-il déclaré.

« Je ne sais pas à quel point ils ont envie de faire cela, mais il est difficile d’imaginer qu’un régulateur européen dirait que les CSC travaillent pour les États-Unis, et la pression s’accumulera pour qu’ils fassent l’évaluation.

« Je ne pense pas que les CSC aient échappé au jugement du tribunal – pour certains pays clés, il s’agit probablement simplement d’un sursis d’exécution. »