Transfert des données : Max Schrems gagne encore

Deuxième décision choc de la justice européenne en deux jours : après avoir rejeté mercredi la décision de Bruxelles d’obliger Apple à verser 13 milliards d’euros d’impôts à l’Etat irlandais, elle vient de retoquer l’accord entre les États-Unis et l’Europe qui permet aux entreprises de transférer des données personnelles de citoyens européens aux États-Unis. Une contrariété majeure pour les Gafa et autres acteurs de l’économie numérique, dont les business models reposent très largement sur la monétisation des informations laissées par leurs utilisateurs.

Selon la Cour de justice de l’Union européenne (CJUE), l’accord Privacy Shield, adopté en juillet 2016 "consacre […] la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers" les États-Unis. Car si la "réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux", précise la Cour.

Elle donne donc raison à l’instigateur de la procédure, l’activiste autrichien Max Schrems. Ce dernier avait porté plainte contre Facebook en août 2016 pour réclamer l’interruption du flux de données entre le siège européen du réseau social, basé en Irlande, et sa maison mère en Californie : il estime que les citoyens européens bénéficient d’une protection moindre aux États-Unis, puisque leurs informations peuvent être réclamées, sans contrôle ni opposition possible, par les agences de renseignement américaines comme le FBI ou la NSA. Or, la directive 95/46/CE sur la protection des données personnelles, en vigueur depuis 1998, interdit le transfert de données personnelles vers les États non-membres de l’Espace économie européen (EEE, qui regroupe l’UE et 3 des 4 États membres de l’AELE) dont la réglementation est jugée moins protectrice.

Les deux puissances vont devoir trouver un nouvel accord. "Profondément déçu" par la décision de la CJUE, le ministère du Commerce américain a indiqué qu’il continuerait à travailler avec Bruxelles. Wilbur Ross, son secrétaire d’Etat, espère "pouvoir limiter les conséquences négatives pour la relation transatlantique". De même, la commissaire européenne aux Valeurs et à la Transparence Vera Jourova a assuré qu’elle travaillerait "en étroite collaboration" avec Washington. Ce contretemps n’est pas le premier : l’activiste avait déjà obtenu de la CJUE en 2015 l’invalidation de l’accord Safe Harbour, premier projet de cadre sur la protection des données développé entre 1998 et 2000. "Les États-Unis devront modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle déterminant sur le marché européen", s’est réjoui Max Schrems.

Cela reste en réalité peu probable. Car tout en annulant le Privacy Shield, la CJUE a, dans sa décision, validé la décision de la Commission sur un autre mécanisme permettant le transfert de données de l’UE vers le reste du monde : les "clauses contractuelles type". Les entreprises pourront l’utiliser pour exporter les informations provenant d’une de leurs entités hors de l’UE, que ce soit vers leur maison mère, une filiale ou un tiers, en s’engageant individuellement à respecter certaines précautions dans l’usage des informations.

Une possibilité importante, puisque la notion de données personnelles est très vaste, comprenant des sujets aussi élémentaires que la paye des employés. Ainsi, la Business Software Alliance, qui rassemble de grandes entreprises du secteur numérique, a exprimé dans un communiqué son soulagement "de voir que les clauses standards contractuelles restent valides", estimant que le dénouement était in fine "positif".