Quand Facebook transfère des données personnelles européennes aux États-Unis, les utilisateurs en perdent le contrôle, ce qui est non conforme avec les garanties offertes par le RGPD. (Photo: Shutterstock)

Quand Facebook transfère des données personnelles européennes aux États-Unis, les utilisateurs en perdent le contrôle, ce qui est non conforme avec les garanties offertes par le RGPD. (Photo: Shutterstock)

La Cour de justice de l’Union européenne a considéré, dans l’arrêt Schrems rendu ce jeudi, que la protection assurée aux États-Unis aux données personnelles n’était pas conforme aux exigences européennes. Et, indirectement, que Facebook, par exemple, ne peut donc pas transférer des données.

L’utilisateur de Facebook ne peut pas avoir la garantie que ses données personnelles, expédiées aux États-Unis, seront traitées avec le même niveau de protection et de confidentialité que sur le sol européen, ni même qu’il pourra trouver une réponse juridique en cas de problème. C’est, en substance, ce que dit l’arrêt Schrems, prononcé ce jeudi matin à la Cour de justice de l’Union européenne.

«Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire», écrivent les juges.

«Quant à l’exigence de protection juridictionnelle, la Cour juge que, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains», dit encore l’arrêt.

. À première vue, il semble que la Cour nous ait suivis sur tous les plans. C’est un coup dur pour le DPC irlandais et Facebook. Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle sur le marché de l’UE.»

«La CJUE a invalidé la deuxième décision de la Commission violant les droits fondamentaux de l’UE en matière de protection des données», a ajouté Herwig Hofmann, professeur de droit à l’Université du Luxembourg et l’un des avocats plaidant les affaires Schrems devant la CJUE. «Il ne peut y avoir de transfert de données vers un pays doté de formes de surveillance de masse. Tant que la loi américaine donnera à son gouvernement le pouvoir de passer l’aspirateur sur les données de l’UE transitant vers les États-Unis, ces instruments seront annulés à maintes reprises. L’acceptation par la Commission des lois américaines sur la surveillance dans la décision relative au bouclier de protection des données les a laissés sans défense.»

À l’été 2016, la Commission européenne avait considéré que le , présentait des garanties suffisantes pour garantir un niveau de protection des données personnelles identiques au règlement européen sur la protection des données.

Alors même que la députée européenne luxembourgeoise, (CSV), qui s’occupait de ce dossier pendant son mandat, avait déjà alerté à ce sujet. Certes, disait-elle, le texte comporte de nombreuses améliorations en matière de transparence, surveillance et contrôle des pratiques des entreprises. «Néanmoins, je regrette le peu de garanties obtenues pour ce qui concerne les activités des services secrets américains. Le problème est, a toujours été et reste l’usage de la sécurité nationale comme une dérogation générale», disait-elle dans un communiqué séparé de celui de son groupe au Parlement européen (PPE). Le travail doit se poursuivre pour «transformer les assurances écrites en obligations légales, et les mots en réalité pour les citoyens».

«La décision finale doit être solide comme un roc si nous voulons fournir aux PME la sécurité juridique qu’elles méritent.» Ou encore, «plus que jamais, l’Europe et l’Amérique doivent construire un pont stable sur l’Atlantique avec un pilier solide pour la protection des données. Maintenant que le nouveau règlement général sur la protection des données a créé une référence absolue en Europe, faisons-en une réalité mondiale», conclut-elle, .

«L’arrêt d’aujourd’hui a de graves implications sur le transfert de données à caractère personnel en dehors de l’UE et constitue un appel au réveil pour les entreprises de l’UE» note un partner de DLA Piper, Olivier Reisch, dans un communiqué de presse. «Pour les entreprises qui comptaient auparavant sur Privacy Shield, un mécanisme de transfert alternatif doit être trouvé. Cependant, avant d'utiliser les clauses contractuelles types, qui sont le mécanisme de transfert alternatif le plus couramment utilisé, les entreprises devront vérifier l'existence de garanties appropriées, en tenant compte des risques réels d'un tel transfert, dans le contexte du secteur / de l'industrie. et d'autres facteurs pertinents, y compris le pays de destination. Cela s'appliquera également aux entreprises utilisant actuellement des clauses contractuelles types. Les autorités de protection des données de l'UE auront la tâche peu enviable de déterminer le caractère suffisant des garanties appropriées et est susceptible de déclencher une nouvelle série de discussions politiques entre l'UE et les États-Unis.»

Selon le cabinet d’avocats, une interruption des flux d’informations avec les Etats-Unis coûterait de 0,8 à 1,2% du PIB européen, selon une étude de la BSA Software Alliance.

Articles Associés