La Cour de justice de l'UE invalide le partage de données sous le régime du "Privacy Shield" en raison de la surveillance américaine.

Facebook et Cie ne peuvent plus transférer les données des citoyens de l'UE sous le bouclier de protection de la vie privée car cela porte atteinte à la protection des données garantie par la GDPR.

La décision historique rendue aujourd'hui par la Cour de justice européenne en matière de droit à la vie privée invalide l'accord Privacy Shield, conclu entre les États-Unis et l'Union européenne pour faciliter l'accès des entreprises technologiques de la Silicon Valley au marché européen. Cet accord spécial pour les entreprises américaines est désormais nul et non avenu. Si les États-Unis veulent rétablir un accord similaire, ils doivent d'abord modifier radicalement leurs lois en matière de surveillance.


Le bouclier de protection de la vie privée n’est plus valable

Le défenseur de la vie privée Max Schrems et son organisation NOBY (abréviation de “non of your business”) ont intenté un procès contre les pratiques de transfert de données de Facebook juste après l’introduction de la GDPR en mai 2018.

La Cour de justice européenne (CJUE) a déclaré aujourd’hui dans son arrêt que les lois américaines ne protègent pas de manière adéquate les données des citoyens européens, car les programmes de surveillance aux États-Unis ne se limitent pas à ce qui est strictement nécessaire.

La Cour a souligné “qu’en ce qui concerne certains programmes de surveillance, ces dispositions n’indiquent aucune limitation du pouvoir qu’elles confèrent pour mettre en œuvre ces programmes, ni l’existence de garanties pour les personnes non américaines potentiellement ciblées”.

Ainsi, la Cour de justice de l’UE a déclaré que le système de partage de données Privacy Shield entre l’UE et les États-Unis était invalide.

La protection de la vie privée, une victoire pour les Européens

Max Schrems déclare que cette victoire de la vie privée est générale : “Je suis très heureux de ce jugement. Il semble que la Cour nous ait suivis dans tous les aspects. C’est un coup dur pour le GDPR irlandais et pour Facebook. Il est clair que les États-Unis devront modifier sérieusement leurs lois en matière de surveillance si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen”.

Protection des données douteuse aux États-Unis

Un problème majeur que la Cour européenne a souligné est que les données des étrangers ne sont pas protégées aux États-Unis. Les protections qui existent - même si elles sont limitées - ne s’appliquent qu’aux citoyens américains. La NSA peut obtenir à tout moment un accès complet à toutes les données des citoyens non américains sur Facebook. En outre, les personnes n’ayant pas la nationalité américaine n’ont aucun droit de recours devant les tribunaux contre les autorités américaines, ce qui constitue une violation de l‘“essence” de certains droits fondamentaux de l’UE, a estimé la CJUE.

Selon l’arrêt, la Commission européenne n’a pas évalué correctement les lois américaines sur la surveillance lorsqu’elle a adopté l’accord sur le bouclier de la vie privée. Au lieu de cela, la Commission s’est pliée aux pressions américaines.

En conséquence, le transfert des données sous le “Privacy Shield” priverait les citoyens européens des droits de protection des données qui leur sont accordés par le GDPR.

”Pour tous ces motifs, la Cour déclare la décision 2016/1250 invalide”, a décidé la Cour européenne.

Le conflit des différences entre les lois sur la protection des données ne peut être résolu que de deux façons :

  1. Les États-Unis et l’Union européenne n’adopteront pas de “nouvel” accord sur le bouclier de protection de la vie privée, ce qui signifie que les entreprises de la Silicon Valley n’auront pas un accès privilégié au marché européen.
  2. Ou bien les États-Unis modifient leur législation en matière de surveillance de telle sorte que les données des personnes vivant dans l’Union européenne soient protégées d’une manière qui satisfasse aux exigences élevées du GDPR.

Max Schrems commente : “La Cour a clarifié pour la deuxième fois maintenant qu’il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance. Comme l’UE ne modifiera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de vie privée pour tous, y compris les étrangers. La réforme de la surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley”.

”Cet arrêt n’est pas la cause d’une limitation des transferts de données, mais la conséquence des lois américaines sur la surveillance. Vous ne pouvez pas reprocher à la Cour d’avoir dit l’inévitable - quand la merde frappe le ventilateur, vous ne pouvez pas lui reprocher”.

Pas de privilège sur le bouclier de protection de la vie privée

Les flux de données vers les États-Unis sont toujours possibles en vertu de l’article 49 de la GDPR. Cependant, ils doivent être limités à ce qui est absolument nécessaire pour exécuter un contrat. En outre, si un utilisateur souhaite que ses données soient transférées aux États-Unis, cela est également légal, mais l’utilisateur peut retirer son consentement à tout moment.

En bref : les États-Unis n’ont plus de privilège lorsqu’il s’agit de transférer les données des citoyens européens. Les entreprises technologiques américaines ont perdu leur accès privilégié au marché de l’UE en raison de la surveillance américaine.

Schrems déclare : “La Cour a explicitement souligné que l’invalidation du bouclier de protection de la vie privée ne créera pas un “vide juridique”, car les flux de données indispensables peuvent encore être entrepris. Les États-Unis sont maintenant simplement renvoyés à un pays moyen sans accès spécial aux données de l’UE”.

C’est une victoire historique pour le droit à la vie privée.