La Haute Cour européenne de Justice a rendu hier jeudi un jugement dans l'affaire Schrems II portant sur les flux de données entre l'UE et les Etats-Unis. Elle déclare que les entreprises qui transfèrent des données personnelles de l'UE vers d'autres zones légales, doivent donner les mêmes garanties en matière de respect de la vie privée que celles en vigueur dans l'UE même. Or le traité actuel abordant ce sujet n'en offre pas suffisamment, selon la Cour.

Dans la pratique, cette sentence annule le Privacy Shield, un accord conclu entre l'UE et les Etats-Unis permettant à des entreprises telles Facebook des transférer des données personnelles. Ce Privacy Shield est en soi déjà un bouche-trou qui avait été imaginé, après qu'un accord précédent, Safe Harbour, ait été invalidé par cette même Haute Cour de Justice.

Safe Harbour et Privacy Shield

L'affaire en question avait été initiée en 2013 par l'activiste autrichien en matière de respect de la vie privée Max Schrems, qui ne voulait pas que ses données aboutissent sur des serveurs américains. Son argumentation était que les lois américaines n'offrent pas une sécurité suffisante sur le plan de la confidentialité pour les citoyens européens. Il se basait pour cela en partie sur les révélations d'Edward Snowden et sur des exemples d'entreprises américaines telles Facebook qui abuseraient de ces données. Dans le procès qu'il intenta, Schrems ciblait surtout Facebook, et comme le siège central européen du géant technologique se trouve en Irlande, l'autorité en charge de la protection des données irlandaise.

L'affaire aboutit finalement à la Cour européenne qui décida en 2015 que Safe Harbour, la réglementation destinée à permettre les transferts de données entre les pays de l'UE et les entreprises américaines, n'était pas valable. Cet accord n'offrait pas suffisamment de garanties pour protéger les citoyens européens, selon la Cour.

En réaction, on eut droit quelques mois plus tard à Privacy Shield, un nouvel accord conclu entre l'UE et les Etats-Unis en vue d'autoriser les transferts de données. Mais Max Schrems n'en avait pas encore fini avec Facebook et donc, la Cour européenne devait encore se pencher sur le Privacy Shield. Or voici que la Cour en question décide à présent que ce nouveau traité n'offre pas non plus de garanties suffisantes et n'est donc plus valable. Si des pays ou des entreprises en dehors de l'UE veulent traiter les données de citoyens de cette dernière, ils/elles doivent donner un même niveau de garanties de confidentialité. Les autres pays doivent donc se montrer aussi stricts que le GDPR ou garder les données personnelles au sein de l'UE.

Et maintenant?

Le jugement rendu hier pourrait avoir des conséquences politiques. Le risque est que quelqu'un tel le président Donald Trump le considère comme le début d'une guerre commerciale. De plus, le jugement aura surtout un impact sur des entreprises comme Facebook et Google, dont le business model repose sur le traitement des données personnelles. Qu'elles maintiennent ou non ces données personnelles au sein de l'UE, elles doivent de toute façon dès à présent cesser de les transférer vers des serveurs dans d'autres pays.

Pour quelques firmes, il subsiste néanmoins une échappatoire. Au cours de la période séparant Safe Harbour et Privacy Shield, nombre d'entreprises américaines opérant en Europe ont eu recours aux 'Standard Contractual Clauses' (SCC), à savoir des contrats individuels entre entreprises permettant le transfert de données. Ces SCC sont toujours en vigueur, même si la Cour européenne signale qu'elles doivent contenir des 'mécanismes effectifs' veillant à ce que le GDPR soit respecté. Les firmes technologiques qui transfèrent des données au départ de l'UE, ont aussi le devoir d'éplucher ces contrats et de s'assurer qu'ils satisfont aux règles.

La Haute Cour européenne de Justice a rendu hier jeudi un jugement dans l'affaire Schrems II portant sur les flux de données entre l'UE et les Etats-Unis. Elle déclare que les entreprises qui transfèrent des données personnelles de l'UE vers d'autres zones légales, doivent donner les mêmes garanties en matière de respect de la vie privée que celles en vigueur dans l'UE même. Or le traité actuel abordant ce sujet n'en offre pas suffisamment, selon la Cour.Dans la pratique, cette sentence annule le Privacy Shield, un accord conclu entre l'UE et les Etats-Unis permettant à des entreprises telles Facebook des transférer des données personnelles. Ce Privacy Shield est en soi déjà un bouche-trou qui avait été imaginé, après qu'un accord précédent, Safe Harbour, ait été invalidé par cette même Haute Cour de Justice.Safe Harbour et Privacy ShieldL'affaire en question avait été initiée en 2013 par l'activiste autrichien en matière de respect de la vie privée Max Schrems, qui ne voulait pas que ses données aboutissent sur des serveurs américains. Son argumentation était que les lois américaines n'offrent pas une sécurité suffisante sur le plan de la confidentialité pour les citoyens européens. Il se basait pour cela en partie sur les révélations d'Edward Snowden et sur des exemples d'entreprises américaines telles Facebook qui abuseraient de ces données. Dans le procès qu'il intenta, Schrems ciblait surtout Facebook, et comme le siège central européen du géant technologique se trouve en Irlande, l'autorité en charge de la protection des données irlandaise.L'affaire aboutit finalement à la Cour européenne qui décida en 2015 que Safe Harbour, la réglementation destinée à permettre les transferts de données entre les pays de l'UE et les entreprises américaines, n'était pas valable. Cet accord n'offrait pas suffisamment de garanties pour protéger les citoyens européens, selon la Cour.En réaction, on eut droit quelques mois plus tard à Privacy Shield, un nouvel accord conclu entre l'UE et les Etats-Unis en vue d'autoriser les transferts de données. Mais Max Schrems n'en avait pas encore fini avec Facebook et donc, la Cour européenne devait encore se pencher sur le Privacy Shield. Or voici que la Cour en question décide à présent que ce nouveau traité n'offre pas non plus de garanties suffisantes et n'est donc plus valable. Si des pays ou des entreprises en dehors de l'UE veulent traiter les données de citoyens de cette dernière, ils/elles doivent donner un même niveau de garanties de confidentialité. Les autres pays doivent donc se montrer aussi stricts que le GDPR ou garder les données personnelles au sein de l'UE.Et maintenant?Le jugement rendu hier pourrait avoir des conséquences politiques. Le risque est que quelqu'un tel le président Donald Trump le considère comme le début d'une guerre commerciale. De plus, le jugement aura surtout un impact sur des entreprises comme Facebook et Google, dont le business model repose sur le traitement des données personnelles. Qu'elles maintiennent ou non ces données personnelles au sein de l'UE, elles doivent de toute façon dès à présent cesser de les transférer vers des serveurs dans d'autres pays.Pour quelques firmes, il subsiste néanmoins une échappatoire. Au cours de la période séparant Safe Harbour et Privacy Shield, nombre d'entreprises américaines opérant en Europe ont eu recours aux 'Standard Contractual Clauses' (SCC), à savoir des contrats individuels entre entreprises permettant le transfert de données. Ces SCC sont toujours en vigueur, même si la Cour européenne signale qu'elles doivent contenir des 'mécanismes effectifs' veillant à ce que le GDPR soit respecté. Les firmes technologiques qui transfèrent des données au départ de l'UE, ont aussi le devoir d'éplucher ces contrats et de s'assurer qu'ils satisfont aux règles.