La Cour européenne de justice a tranché : dans un arrêt rendu jeudi matin, elle estime que les données personnelles ne sont pas aussi protégées de l'autre côté de l'Atlantique qu'en Europe. La juridiction a donc invalidé un mécanisme crucial de transfert des données personnelles de l'Union européenne vers les États-Unis. Cette décision est très importante pour les internautes européens, en particulier ceux qui utilisent les réseaux sociaux.
Les Etats-Unis se sont pour leur part dits "profondément déçus" par cette décision, susceptible selon Washington de fragiliser les entreprises opérant dans l'UE qui transfèrent ou font héberger des données outre-Atlantique, désormais plongées dans un flou juridique.
Pourquoi la Cour avait-elle été saisie ?
Tout part de la procédure lancée par un jeune Autrichien, Max Schrems. Ce militant de la protection de la vie privée a porté plainte contre Facebook. Alors que l'Union européenne a la législation la plus protectrice du monde pour les données personnelles, le réseau social de Mark Zuckerberg stocke ces informations sur ses serveurs aux États-Unis. Bruxelles avait conclu avec Washington un accord censé nous protéger aussi bien là-bas. Mais pour Max Schrems, il y avait un risque que nos données soient aspirées par le FBI ou la NSA, par exemple.
"Les administrations de surveillance, comme la NSA, ont énormément de pouvoir d'accès aux données stockées par les entreprises américaines", rappelle Martin Drago, juriste au sein de l'association La Quadrature du Net, qui se félicite de cet arrêt auprès d'Europe 1. "Cette décision est un appel politique de l'Union européenne aux États-Unis pour qu'ils revoient et qu'ils renforcent leur protection des données personnelles."
Comment la juridiction motive-t-elle sa décision ?
La Cour de justice de l'UE (CJUE) a considéré que l'accord UE-USA "Privacy Shield" ("bouclier de protection"), utilisé par 5.000 entreprises américaines, dont les géants comme Google ou Amazon, ne préserve par de possibles "ingérences dans les droits fondamentaux des personnes dont les données sont transférées".
La Cour estime que les autorités publiques américaines peuvent actuellement accéder aux données sans que cela soit limité "au strict nécessaire". Cette réglementation actuelle américaine ne fournit ni "garanties pour les personnes non américaines potentiellement visées", ni de "droits opposables aux autorités américaines devant les tribunaux", poursuit encore la juridiction européenne.
Comment ont réagi l'Union européenne, les autorités américaines et Facebook ?
La Commission européenne doit vite trouver une nouvelle solution. Jeudi midi, elle a promis de travailler pour protéger les Européens, mais aussi pour que les données puissent continuer à circuler de part et d'autre de l'Atlantique. Il s'agit d'un nouveau désaveu pour Bruxelles, après l'annulation mercredi de sa décision exigeant qu'Apple rembourse 13 milliards d'euros, jusqu'alors considérés comme des avantages fiscaux indus.
De leur côté, les États-Unis se sont dits "profondément déçus" par cette décision, susceptible de fragiliser les entreprises opérant dans l'UE qui transfèrent ou font héberger des données outre-Atlantique. Washington continuera à travailler avec la commission européenne, et étudie la décision de justice en détail pour en comprendre tous les effets concrets, a affirmé Wilbur Ross, le secrétaire américain au Commerce. Nous "espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7.100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernement respectifs", a ajouté Wilbur Ross.
Dans un communiqué, Facebook a promis de faire "en sorte que (ses) annonceurs, clients et partenaires puissent continuer à profiter de (ses) services tout en préservant la sécurité de leurs données". Les données personnelles concernées (comportement en ligne, géolocalisation…) constituent la mine d'or de l'économie numérique, en particulier pour les géants du secteur.