Le « Privacy Shield » rejeté : les données personnelles européennes ne seront pas transférées aux États-Unis

Les États-Unis ne fournissent pas de garanties suffisantes pour protéger la confidentialité des données.

C’est l’avis de la Cour de justice des Communautés européennes (CJCE), qui a décidé de déclarer nul l’accord « Privacy Shield » de 2016 entre l’Union européenne et les États-Unis, en vertu duquel des sociétés américaines telles qu’Apple ou Google peuvent transférer des données d’utilisateurs européens aux États-Unis.

Actuellement, l’UE est régie par le règlement général sur la protection des données (RGDP), qui repose en partie sur les règles établies précédemment dans l’accord « Privacy Shield ». Cependant, la CJCE considère désormais que les États-Unis ne garantissent pas un niveau de protection adéquat pour les données personnelles. Il s’agit d’une décision importante, qui marquera le début d’une nouvelle phase dans les relations entre les États-Unis et l’UE en matière de protection de la vie privée.

Schrems, l’internaute qui ne voulait pas que Facebook envoie ses données aux États-Unis

Cette décision fait suite à une plainte de Maximiliam Schrems, un internaute et activiste autrichien, contre Facebook. Schrems assure que ses données personnelles sont transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc. Ce dernier a affirmé que ces transferts n’ont pas à être effectués parce qu’il n’y avait pas suffisamment de garanties aux États-Unis. Après plusieurs décisions de justice rendues par différents organes, la Cour de justice a finalement déclaré que le ’’Privacy Shield’’ (bouclier de la vie privée) n’était pas valable à cause de ces problèmes de confidentialité.

La Cour précise que les transferts de données à caractère personnel effectués à des fins commerciaux « ne peuvent pas sortir du champ d’application du RGPD » de l’UE. La Cour explique que le pays bénéficiaire doit fournir un « niveau de protection substantiellement équivalent à celui garanti dans l’Union », en se référant principalement aux « éléments pertinents du système juridique de ce pays ».

Selon la CJCE, certains programmes de surveillance américains avaient tendance à exploiter les données personnelles

« Les limitations de la protection des données à caractère personnel découlant des règles internes des États-Unis relatives à l’accès aux données transférées de l’Union vers ce pays tiers et à leur utilisation par les autorités américaines, que la Commission a évaluées dans sa décision ne sont pas régies par des exigences substantiellement équivalentes à celles requises par le droit de l’Union en vertu du principe de proportionnalité, dans la mesure où l’exploitation des données par les programmes de surveillance ne sont pas limités à ce qui est strictement nécessaire ».

En d’autres termes, selon la CJCE, la réglementation américaine n’est pas assez stricte en matière de respect de la vie privée. Du moins, pas au même niveau que le RGPD.

Différences entre les États-Unis et la France en matière de protection des données

Plus précisément, l’article qui préoccupait le plaignant était la section 702 de la loi américaine sur la surveillance du renseignement étranger (FISA), qui permet à l’Agence de sécurité nationale (NSA) de recueillir des informations concernant des citoyens non américains à l’extérieur du pays en obtenant leurs données stockées électroniquement par des fournisseurs de services de communication, comme Facebook.

Max Schrems s’est dit « très satisfait du procès ». « Il semble que la Cour nous ait suivis à tous les égards ». C’est un coup dur pour le CPD irlandais et Facebook. Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle important sur le marché de l’UE.

Ce qui peut arriver à partir de maintenant

Le commissaire européen à la justice, Didier Reynders, a publié une déclaration à la suite de cette décision, expliquant qu’il s’est « engagé à disposer de systèmes de transfert de données fiables et protégés » et qu’il « contactera ses homologues américains pour aller de l’avant et travailler de manière constructive à l’élaboration d’un mécanisme de protection des données personnelles plus solide et plus durable ».

Wilbur Ross, secrétaire d’État américain au commerce, a qualifié cette décision de « décevante » et a assuré qu’il poursuivra ses efforts pour l’élaboration et l’activation du programme « Privacy Shield ».

L’accord « Privacy Shield » n’est pas le premier entre les États-Unis et l’Union européenne sur les questions relatives aux données. En fait, elle est venue en réponse à l’accord sur la sphère de sécurité, qui permet aux entreprises de transférer aux États-Unis les données qu’elles ont recueillies auprès de leurs utilisateurs européens.

Le Privacy Shield couvre plus de 5 300 entreprises qui, une fois cet accord déclaré invalide, ne pourront plus transférer de données personnelles européennes vers des serveurs américains. À ce stade, les autorités pourront décréter la suspension de tous les transferts. Reste maintenant à voir si les États-Unis adapteront leurs lois ou si le ministère du commerce et la Commission européenne concluront un nouvel accord.

A propos Kévin Costecalde 302 Articles
Passionné par la photographie et les médias, Kévin est chef de projet communication. En 2012, il a lancé le blog La Minute de Com, une excellente occasion selon lui d'étudier les réseaux sociaux et l'actualité. Curieux et touche-à-tout, Kévin aime les challenges, les voyages et l'ironie.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.