px

C’ est un nouvel arrêt retentissant que vient de rendre la Cour de justice de l’Union européenne (CJUE). À l’origine de cette décision, on trouve une plainte déposée par Maximilian Schrems, un citoyen autrichien utilisateur de Facebook depuis 2008.

Cet activiste s’est attaqué au transfert de données personnelles des utilisateurs européens de Facebook vers des serveurs américains où celles-ci font l’objet d’un retraitement. Il considère en effet que les États- Unis n’offrent pas un niveau de protection suffisant contre l’accès à ces données par les autorités publiques américaines.

Maximilian Schrems a donc tenté d’interdire ces transferts vers les États-Unis. Suite à une plainte déposée en Irlande, le pays d’origine du flux de données, une question préjudicielle a été posée à la CJUE.

La plus haute juridiction de l’UE devait rendre sa décision sur la validité de deux dispositifs encadrant le transfert de données depuis l’Europe : le privacy shield (bouclier de la vie privée), un dispositif américain de protection des données reconnu par l’Union européenne, et l’une des “clauses-types”, une série de documents à remplir par les entreprises désirant transférer leurs données vers des pays n’offrant pas un niveau de protection adéquat (Chine, Inde…).

La Cour de justice a purement et simplement invalidé la reconnaissance européenne du privacy shield, un dispositif utilisé par des milliers d’entreprises pour transférer leurs données depuis l’Europe vers les États-Unis. La haute juridiction estime en effet que les pouvoirs de surveillance des autorités américaines sont trop étendus.

“Un séisme”

“Cet arrêt aura un impact énorme sur les entreprises, commente Tanguy Van Overstraeten, Partner chez Linklaters. Environ 5 000 sociétés transfèrent leurs données depuis l’UE vers les États-Unis via le privacy shield. À l’heure actuelle, ces entreprises n’ont plus de base légale pour transférer leurs données. En pratique, le flux ne va pas s’arrêter ce jeudi, ce serait le chaos.” Que va-t-il se passer, alors ? Selon cet expert, le Comité européen de protection des données, qui est chargé d’uniformiser les décisions des autorités nationales de protection des données, devrait communiquer sur les suites à donner à l’arrêt de la CJUE. Énormément d’entreprises certifiées au privacy shield doivent, sans periode de grace trouver une autre méthode juridique pour transféré des données hors de l’UE.

Qu’en est-il des clauses-types, un autre moyen (plus lourd) pour transférer des données en dehors de l’UE ? “Le système des clauses-
types n’est pas invalidé mais la Cour de justice a imposé une série d’obligations aux entreprises qui y ont recours. En théorie, elles devront vérifier le contexte entourant la protection des données dans le pays hôte”, précise Marie. Avec quelles conséquences, alors qu’énormément de PME, et même de plus grandes entreprises, se contentaient de signer les documents en question sans aller voir plus loin ? “C’est très difficile à dire, commente Marie. Il s’agit en théorie d’un vrai bouleversement, mais on verra en pratique. Je doute que des PME, et même des entreprises de plus grande taille, soient outillées pour vérifier le contexte relatif à la protection des données dans tel ou tel pays.”

Tous les pays qui reçoivent des données européennes ne sont pas concernés par cet arrêt. En effet, une douzaine d’États sont considérés comme le cas de la Suisse, du Japon, de l’Argentine, de la Nouvelle-Zélande, du Canada…. Pour ces pays, rien ne change…

Précisons enfin que Facebook transfère aujourd’hui ses données européennes vers les États- Unis sur la base des clauses-types, plutôt que du privacy shield. Dans un premier temps, le réseau social ne devrait donc pas être touché par cet arrêt dont il est à l’origine.

Par ailleurs, Monique Goyens, directrice générale de l’Association européenne de protection des consommateurs, a salué cette décision. “Le privacy shield ne protège pas suffisamment les données personnelles, estime-t-elle. Ce dispositif contient de nombreuses failles depuis le début.”