La Cour de justice de l’Union européenne a invalidé le régime de transferts de données personnelles entre l’UE et les États-Unis jugeant leur protection insuffisante.
La Cour de justice de l’Union européenne a frappé un grand coup en pleine période estivale en invalidant Privacy Shield, ce régime de transferts de données personnelles entre l’Union européenne et les États-Unis. Adopté en 2016 par la Commission européenne, le mécanisme de protection Privacy Shield était réputé suffisant pour encadrer les transferts de données à caractère personnel vers des opérateurs américains. Revirement complet le 16 juillet 2020, la Cour considère désormais que les programmes de surveillance américains ne se limitent pas au strict nécessaire, les autorités pouvant notamment procéder à des opérations de surveillance à grande échelle qui ne respectent pas les principes de nécessité et de proportionnalité en vigueur au sein de l’Union européenne, selon l’analyse proposée par l’opérateur français OVH sur son blog.
La Cour note aussi que les personnes concernées ne bénéficient pas, y compris dans le cadre du mécanisme de médiation prévu par le Privacy Shield, de recours effectif leur permettant de faire valoir leurs droits devant une juridiction indépendante et impartiale en cas d’ingérence des autorités américaines, alors même que ce droit à un recours effectif est garanti par la Charte des droits fondamentaux de l’Union européenne.
La décision d’invalidation aura des conséquences, y compris pour les clauses contractuelles types dans des contrats passés entre un responsable de traitement exportateur et un importateur de données personnelles. Les clauses types ne sont pas suffisantes, rappelle la CJUE, car un tel contrat n’est pas opposable aux autorités du pays destinataire des données. Les autorités US avec leur surveillance de masse avec des interceptions de trafic sur les câbles réseaux, notamment dans le cadre des programmes de surveillance Prism et Upstream, sont ici en ligne de mire.
Premiers secteurs concernés par la menace d’interception des données personnelles : les réseaux sociaux et la publicité en ligne, où le quasi-monopole des GAFAM rend aléatoire toute tentative de se passer de leurs services. Or leurs services supposent aussi des transferts des données personnelles vers les États-Unis, sans garantir une protection suffisante contre une telle menace.
La CNIL de son côté a réagi à la décision de la CJUE en annonçant qu’elle « procède actuellement à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis ».
Laisser un commentaire