La décision rendue ce mardi 6 octobre 2015 par la Cour de justice de l’Union européenne (CJUE) pourrait être lourde de conséquences pour les quelque 4 000 entreprises américaines qui transfèrent des données personnelles de citoyens européens vers les États-Unis sous le couvert du Safe Harbor.
Cet accord, négocié à la fin des années 90 entre les autorités américaines et la Commission européenne, avait été entériné par une décision du 26 juillet 2000. Il est aujourd’hui déclaré invalide à plusieurs titres.
La CJUE considère en premier lieu que les États-Unis ne garantissent plus un niveau suffisant de protection des données personnelles : selon les termes du jugement, la sécurité nationale et l’intérêt public prévalent aujourd’hui sur le Safe Harbor.
Les juges pointent du doigt l’ingérence des services américains de renseignement, qui ont accédé aux données en question et les ont exploité « d’une manière incompatible avec les objectifs pour lesquels elles sont transférées », y compris en tenant compte des problématiques de sécurité nationale.
Les citoyens européens concernés n’ont pas ailleurs aucun recours, ni administratif, ni judiciaire, pour accéder aux informations stockées outre-Atlantique et éventuellement les modifier ou les supprimer.
Dans la lignée du réquisitoire formulé le 23 septembre par son avocat général Yves Bot, la CJUE a également réaffirmé « les pleins pouvoirs » des autorités nationales chargées de la protection des données personnelles.
En d’autres termes, la CNIL et ses homologues européennes sont habilitées, au nom de la Charte des droits fondamentaux de l’UE, à examiner « en toute indépendance » le respect, par une entreprise américaine, des dispositions inscrites au Safe Harbor. Et ce malgré l’existence de la décision 2000/530/CE rendue le 26 juillet 2000 par Bruxelles. Elles peuvent ensuite solliciter la CJUE, qui seule a le le pouvoir de déclarer invalide une loi européenne.
Comment en est-on arrivé à ce jugement ? Il faut remonter à cette plainte déposée par Max Schrems contre Facebook.
Cet Autrichien, docteur en droit, exigeait que la filiale européenne du réseau social, implantée en Irlande, cesse de transférer les données des citoyens européens, dans la mesure où les États-Unis n’en assureraient pas une protection adéquate. Et d’évoquer les révélations d’Edward Snowden autour du programme PRISM permettant à la NSA d’accéder librement aux informations hébergées sur des serveurs situés sur le territoire américain.
Estimant ne pas pouvoir se saisir du dossier au regard de la base juridique établie par la décision 2000/530/CE, la Haute Cour de justice d’Irlande avait fait appel à la CJUE pour trancher sur sa compétence.
Il lui appartient désormais, en vertu de la décision du 6 octobre, d’examiner la demande de Max Schrems et de décider si Facebook doit cesser le transfert des données des citoyens européens vers les États-Unis… et par là même en limiter l’exploitation. Un verdict qui pourrait faire tache d’huile sur des « géants du Web » comme Google, Amazon et Microsoft.
Crédit photo : voyager624 – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…