Nouveau revers pour la Commission européenne. Après un jugement en faveur d'Apple la veille, la Cour de justice de l'UE a invalidé, jeudi 16 juillet, le bouclier de protection des données mis en place entre l'Union européenne et les États-Unis, provoquant un concert de réactions (affaire C-311/18) (EUROPE 12526/18).
Les défenseurs de la protection des données crient victoire tandis que les entreprises parlent de « coup dur pour le commerce transatlantique ». Du côté des autorités, on tempère. Si la Commission européenne affirme réfléchir depuis plusieurs mois aux améliorations à apporter à ce mécanisme, plus connu sous le nom de 'Privacy Shield', les Américains, eux, se montrent plus ambigus ; le secrétaire américain au Commerce, Wilbur Ross, allant même jusqu'à affirmer que « le Département du Commerce continuera d'administrer le programme du Privacy Shield ».
Clauses contractuelles types et Privacy Shield
Cette affaire remonte à 2013, avec la plainte déposée par Max Schrems auprès du régulateur irlandais, réclamant l'interruption du flux de données entre le siège européen de Facebook, en Irlande, et sa maison-mère en Californie. Le juriste autrichien estimait en effet que ses données personnelles, une fois aux États-Unis, étaient moins protégées puisqu'elles pouvaient être réclamées par des agences de renseignement, comme la NSA ou le FBI. Il avait d'ailleurs obtenu une première victoire, en 2015, avec l'annulation du prédécesseur du 'Privacy Shield', le 'Safe Harbor'.
Cette fois, la Cour était invitée à se prononcer sur la validité des clauses contractuelles types établies en 2010 par la Commission (décision 2010/87) et utilisées par Facebook pour transférer les données en sa possession. Or, si elle a jugé ces clauses « valides » au regard du règlement général sur la protection des données pour autant que ces clauses soient effectivement mises en oeuvre dans le pays tiers, il n'en va pas de même de l'accord transatlantique 'Privacy Shield' (décision 2016/1250).
Les juges de Luxembourg estiment en effet que les programmes de surveillance américains ne sont pas suffisamment encadrés pour répondre aux exigences de proportionnalité (pas de limitation ni de garanties pour les citoyens non américains). Ils ajoutent que le Privacy Shield ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux ni une voie de recours suffisante. Et de dénoncer des limites à l'indépendance du médiateur prévu dans le cadre du dispositif et à sa capacité d'adopter des décisions contraignantes.
Discussion prévue le 17 juillet
Réagissant à ce coup de massue, le commissaire à la Justice, Didier Reynders, a indiqué qu'une visioconférence avec le secrétaire américain au Commerce devait se tenir le lendemain. « Il y a différents moyens d'adapter la situation, mais je ne veux pas en préjuger », a indiqué le commissaire, laissant entendre que le rôle et les compétences du médiateur seraient nécessairement concernés, vu la clarté de l'arrêt à ce propos.
Interrogée sur la nécessité pour les Américains de revoir leur régime de surveillance, la commissaire aux Valeurs, Věra Jourová, a reconnu n'avoir jamais caché son souhait de voir plus de convergence réglementaire, afin, notamment, que la loi fédérale américaine sur la protection des données « soit équivalente ou similaire au RGPD ». « On a largement œuvré en ce sens, mais on n'a pas de baguette magique : c'est aux Américains d'agir », a-t-elle indiqué, passant sous silence le fait que la Commission avait, à trois reprises, conclu à une évaluation positive du Privacy Shield (EUROPE 12355/9).
Wilbur Ross, quant à lui, a dénoncé les difficultés qu'un tel arrêt posait aux entreprises, déjà fragilisées par la crise de la Covid-19. « Il est essentiel que les entreprises, y compris les 5 300+ participants actuels au bouclier de protection des données, puissent transférer des données sans interruption, conformément aux protections solides offertes par le bouclier de protection des données », a-t-il réagi.
Une victoire à « 100% » pour la protection des données, selon Schrems
Après le Safe Harbor, Max Schrems - qui affirme avoir soumis plus de 45 000 pages de documents à la Cour - vient donc de signer une deuxième victoire avec l'annulation du Privacy Shield. « C'est une victoire à 100% », a réagi le défenseur de la vie privée sur Twitter, ajoutant que les clauses contractuelles types ne permettaient pas de transférer des données sans limites, dans la mesure où elles deviennent caduques lorsque les entreprises sont soumises aux règles de surveillance.
Du côté du Parlement européen, la députée Sophie in't Veld (Renew Europe, Pays-Bas) a parlé d'une « victoire pour la protection des données personnelles, mais une défaite écrasante pour la Commission européenne sur la légalité du système de transfert de données », rappelant que le Parlement s'était déjà prononcé en 2018 pour la suspension de ce système.
Le groupe PPE, de son côté, s'est montré beaucoup plus inquiet des conséquences pour les entreprises. Inquiétude partagée par la fédération des employeurs privés, BusinessEurope, qui réclame un moratoire de la décision, voire un nouveau « bouclier temporaire », le temps qu'une solution plus pérenne soit négociée.
Au nom de la commission des libertés civiles du PE, Juan Fernando López Aguilar (S&D, espagnol) a appelé la Commission à clarifier au plus vite les effets de cet arrêt, s'interrogeant sur son impact aussi sur d'autres outils (comme l'« accord parapluie » ou les négociations en cours sur le Cloud Act).
Les lobbies du numérique ont également regretté la décision européenne. Facebook, pour sa part, a « accueilli positivement la confirmation selon laquelle les clauses contractuelles sont valides » et a indiqué attendre avec impatience des orientations réglementaires sur le Privacy Shield. (Sophie Petitjean, avec l'aide d'Hermine Donceel)