La justice européenne invalide l'accord sur le transfert de données personnelles entre l'UE et les Etats-Unis

Un centre d\'hébergement de données à Böblingen (Allemagne), le 22 novembre 2019.
Un centre d'hébergement de données à Böblingen (Allemagne), le 22 novembre 2019. (MAXPPP)

La Cour de justice de l'UE estime que l'accord rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées".

Les défenseurs des libertés individuelles, comme le juriste autrichien Max Schrems, n'ont pas manqué l'occasion de crier victoire. La justice européenne a invalidé, jeudi 16 juillet, le mécanisme crucial de transfert des données personnelles en ligne entre l'Union européenne et les Etats-Unis, jugé trop peu protecteur face aux programmes de surveillance américains.

Cette décision, très attendue, va fragiliser les entreprises opérant dans l'UE qui transfèrent ou font héberger des données outre-Atlantique. La Cour de justice de l'UE estime dans son arrêt (PDF) que l'accord entre l'UE et les Etats-Unis – baptisé "Privacy Shield" – rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées", car les autorités américaines peuvent y avoir accès, sans que cela ne soit limité "au strict nécessaire".

La CJUE rappelle le rôle des autorités nationales

Les 5 000 entreprises américaines – dont 70% de PME – qui utilisaient jusqu'à présent ce "Privacy Shield" pourraient rapidement se rabattre sur un autre mécanisme, baptisé "clauses contractuelles type", qui permet également le transfert de données de l'UE vers le reste du monde. Il s'agit d'un modèle de contrat défini par la Commission européenne, que toute entreprise peut utiliser pour exporter ses données, par exemple vers une filiale, sa maison-mère ou un tiers. La CJUE a jugé jeudi ce mécanisme valide, mais rappelé que les autorités chargées de la protection des données dans les pays de l'UE, comme par exemple la Cnil en France, devaient suspendre ou interdire les transferts si les lois du pays de destination ne sont pas suffisamment protectrices par rapport au droit européen.

Vous êtes à nouveau en ligne