La justice européenne invalide le Privacy Shield
Juridique : La Cour de justice européenne annonce l’invalidation du "Privacy Shield", le dispositif légal encadrant les transferts de données entre l’Europe et les Etats-Unis. Max Schrems, l’activiste autrichien à l’origine de la procédure, salue la décision.
La CJUE frappe de nouveau : la Cour de justice européenne a rendu ce matin sa décision dans l’affaire opposant le militant autrichien Maximilian Schrems à Facebook. Et en a profité pour invalider le dispositif du Privacy Shield, ce dispositif légal qui encadrait les échanges de données entre l’Union européenne et les Etats-Unis.
La cour examinait plus particulièrement deux décisions de la Commission européenne : la décision 2010/87, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, et la décision 2016/1250, qui instaurait la mise en place du fameux "Privacy Shield". Si la cour n'invalide pas la décision 2010/87, elle remet en revanche en cause la seconde et invalide purement et simplement le Privacy Shield mis en place en 2016.
Les juges expliquent dans leur communiqué avoir cherché à déterminer si la décision 2016/1250 était en accord avec le RGPD, le texte qui encadre en Europe la question des données personnelles. Le nœud du problème se trouve dans les dispositifs légaux mis en place aux Etats-Unis pour permettre aux services de renseignement et aux autorités d’accéder aux données manipulées par les entreprises américaines (on pense par exemple au Cloud Act). La Cour estime ainsi que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ». En d’autres termes : la législation américaine n’offre pas autant de garanties que les législations européennes en matière de protection des données, notamment dans les cas de figure autorisant les autorités à accéder aux données.
En outre, la Cour estime que le mécanisme de recours offert par les Etats-Unis « ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union ». En se basant sur ces deux constats, la CJUE déclare la décision "Privacy Shield" invalide.
