La justice européenne brise le cadre légal des transferts de données personnelles UE-USA

Facebook et les autres géants d'internet pourraient être contraints de cesser d'envoyer des données personnelles de citoyens européens vers les Etats-Unis, après le coup fatal porté mardi par la justice européenne au cadre juridique de ces transferts transatlantiques.

La Cour de justice de l'Union européenne (CJUE) a qualifié d'"invalide" le régime qui encadre depuis quinze ans ces transferts de données à des fins commerciales, connues sous le nom de "Safe Harbour".

Elle se prononçait dans une affaire impliquant le réseau social Facebook, mais des milliers d'entreprises sont concernées par cet arrêt cinglant, qui place l'UE et les Etats-Unis dans l'obligation de combler rapidement ce nouveau vide juridique.

Les données en question englobent toutes les informations permettant d'identifier un individu, de manière directe (nom, prénom, photo ou encore empreinte) ou indirecte (numéro de sécurité sociale ou même numéro de client par exemple).

La décision de la CJUE "est un coup majeur pour la surveillance de masse exercée par les États-Unis, qui repose lourdement sur des partenaires privés", s'est réjoui le juriste autrichien Max Schrems, à l'origine du recours en Irlande qui a conduit la justice européenne à se prononcer.

S'appuyant sur les révélations concernant les pratiques du renseignement américain, en particulier après l'affaire Snowden, M. Schrems s'était adressé aux autorités de contrôle en Irlande, d'où la filiale irlandaise de Facebook transfère les données personnelles de ses abonnés européens vers des serveurs situés aux Etats-Unis.

Il revendiquait le droit de s'opposer au transfert de ses données, considérant que les Etats-Unis n'offraient pas de garanties suffisantes de respect de la vie privée.

La Commission de Bruxelles désavouée

Mais sa requête avait été rejetée : les autorités irlandaises de contrôle avaient considéré que les Etats-Unis assuraient un niveau suffisant de protection aux données transférées.

Elles avaient invoqué le régime juridique dit de la "sphère de sécurité", plus connu sous le nom anglais de "Safe Harbour", mis en place par les autorités américaines pour leurs entreprises transférant des données depuis l'Europe.

Dans une décision datant de 2000, la Commission européenne avait en effet considéré que ce cadre protégeait suffisamment les citoyens de l'UE.

Max Schrems avait alors lancé un nouveau recours, devant la justice irlandaise, qui avait décidé de saisir la CJUE, basée à Luxembourg.

"L'existence d'une décision de la Commission constatant qu'un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle", a jugé la Cour.

La Commission "n'avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle", a-t-elle jugé, déclarant donc "invalide" la décision de l'éxécutif européen.

"Cet arrêt a pour conséquence que l'autorité irlandaise de contrôle est tenue d'examiner la plainte de M. Schrems avec toute la diligence requise", a précisé la Cour. "Il lui appartient, au terme de son enquête, de décider s'il convient (...) de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis", a-t-elle ajouté.

Les autorités irlandaises ont indiqué après la publication de l'arrêt qu'elles allaient faire le nécessaire pour que la justice irlandaise puisse reprendre l'examen de l'affaire "aussi vite que possible".

"Clou dans le cercueil"

"Cette affaire ne concerne pas Facebook", s'est empressé de réagir le réseau social, soulignant que la justice européenne ne lui avait rien reproché dans ses pratiques, mais qu'elle visait le cadre juridique existant.

"Il est impératif que les gouvernements de l'UE et des Etats-Unis assurent qu'ils continuent de fournir des méthodes fiables pour des transferts légaux de données et qu'ils résolvent toutes les questions liées à la sécurité nationale", a insisté Facebook Europe, dans un communiqué.

"Ce jugement montre clairement que les entreprises américaines ne peuvent pas simplement s'allier aux efforts de l'espionnage américain en violant les droits fondamentaux européens", a estimé M. Schrems, qui avait fait le déplacement au Luxembourg pour assister au prononcé de l'arrêt.

A Berlin, le gouvernement allemand a salué "un signal fort pour la protection des droits fondamentaux en Europe".

La députée européenne libérale ALDE Sophie In't Veld, membre de la Commission des libertés civiles au Parlement européen, s'est félicitée de son côté de ce "clou dans le cercueil de Safe Harbour".

"C'est une victoire à 100% pour Schrems, c'est rare mais ça arrive", a commenté un expert européen, estimant que "les abonnés Facebook sont maintenant suspendus à la décision de l'autorité de contrôle irlandaise".

L'arrêt de la CJUE intervient alors que la Commission européenne est engagée dans une négociation compliquée avec les Etats-Unis. Depuis les révélations des programmes de collecte de renseignement à grande échelle aux Etats-Unis, l'exécutif européen demande aux Etats-Unis d'améliorer les garanties apportées par "Safe Harbour", sans succès jusqu'ici.