•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

L'accord sur le transfert de données personnelles UE-États-Unis invalidé

Illustration de transfert de données

La justice européenne évoque un système trop peu protecteur à l'égard des programmes de surveillance américains.

Photo : iStock

Agence France-Presse

Les défenseurs des libertés individuelles ont crié victoire jeudi après l'invalidation par la justice européenne d'un mécanisme crucial de transfert des données personnelles en ligne entre l'UE et les États-Unis, jugé trop peu protecteur face aux programmes de surveillance américains.

Cette décision, très attendue, va fragiliser les entreprises opérant dans l'UE qui transfèrent ou font héberger des données outre-Atlantique, désormais plongées dans un flou juridique.

Elle a été applaudie par le juriste autrichien Max Schrems, figure de la lutte pour la protection des données, qui était à l'origine de l'affaire avec une plainte contre Facebook.

Il semble que la Cour nous ait suivis sur tous les aspects, a dit celui qui s'était fait connaître en obtenant déjà la retentissante annulation, en 2015, d'un accord similaire entre l'UE et les États-Unis.

Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen, a-t-il ajouté.

Aucune garantie

La Cour de justice de l'UE (CJUE) estime dans son arrêt que l'accord UE-USA – baptisé Privacy Shield [bouclier de protection, NDLR] – rend possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées, car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité au strict nécessaire.

Elle souligne aussi que cette réglementation ne fournit pas de garanties pour les personnes non américaines potentiellement visées ni ne leur propose de droits opposables aux autorités américaines devant les tribunaux.

Cette décision crée une incertitude juridique pour les milliers de petites et grandes entreprises des deux côtés de l'Atlantique, a affirmé Alexandre Roure, du CCIA, le lobby des géants des technologies à Bruxelles.

Le commissaire européen à la Justice, Didier Reynders, avait assuré avant la décision que la Commission avait déjà préparé plusieurs scénarios.

En fonction du contenu de la décision, on verra quels sont les outils – déjà préparés – à utiliser pour à la fois conforter les droits fondamentaux et vérifier que la protection donnée par l'UE voyage avec les données, avait-il expliqué à l'AFP. L'ambition est de réagir ensemble [...] du côté européen comme du côté américain, avait-il assuré.

Une solution de remplacement pour les entreprises américaines?

Les 5000 entreprises américaines, dont 70 % de PME, qui utilisent le Privacy Shield pourraient rapidement se rabattre sur un autre mécanisme permettant le transfert de données de l'UE vers le reste du monde : les clauses contractuelles type.

Il s'agit d'un modèle de contrat défini par la Commission européenne, que toute entreprise peut utiliser pour exporter ses données, par exemple vers une filiale, sa maison mère ou un tiers.

La CJUE a jugé jeudi ce mécanisme valide, mais rappelé que les autorités chargées de la protection des données dans les pays de l'UE devaient suspendre ou interdire les transferts si les lois du pays de destination ne sont pas suffisamment protectrices.

Les données personnelles concernées (comportement en ligne, géolocalisation...) constituent la mine d'or de l'économie numérique, en particulier pour les géants comme Google, Facebook ou Amazon.

Une entreprise qui transfère des données d'un pays à l'autre entre ses filiales, par exemple pour gérer la paye de ses employés, est aussi touchée.

L'eurodéputée néerlandaise Sophie in 't Veld (Renew) a salué une victoire pour la protection des données personnelles, mais une défaite écrasante pour la Commission.

L'invalidation du Privacy Shield constitue un nouveau désaveu pour Bruxelles après l'annulation mercredi de sa décision exigeant d'Apple le remboursement de l'équivalent de 20 milliards de dollars canadiens, jusqu'alors considérés comme des avantages fiscaux indus.

À l'origine de l'affaire : une plainte de Max Schrems auprès du régulateur irlandais, réclamant l'interruption du flux de données entre le siège européen de Facebook, en Irlande, et sa maison mère en Californie.

Raison invoquée : une fois aux États-Unis, ces données sont moins protégées, car elles peuvent être réclamées par des agences de renseignement, comme la NSA ou le FBI, sans recours ni contrôle, comme l'ont montré les révélations du lanceur d'alerte Edward Snowden.

Les États-Unis profondément déçus

Dans un communiqué du département du Commerce, Washington dit qu’elle continuera à travailler avec la Commission européenne, et étudie la décision en détail pour en comprendre tous les effets concrets, a affirmé Wilbur Ross, le secrétaire américain au Commerce.

Nous espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernement respectifs, a ajouté M. Ross.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Technologies et médias

International