La Cour Européenne de Justice s’attaque aux USA

La Cour de justice de l’Union Européenne (CJUE) vient de rendre une décision capitale et d’annuler le Privacy Shield qui permettait la transmission des données entre l’Europe et les Etats-Unis (citation : « In the light of all of the foregoing considerations, it is to be concluded that the Privacy Shield Decision is invalid »)

Nous étions nombreux à nous attendre et à avoir anticiper en alertant nos clients sur les risques à transmettre des données à des entreprises américaines avec comme unique fondement le Privacy Shield.

Ces entreprises américaines travaillant sur le sol européen, du fait du Cloud Act (loi fédérale américaine) peuvent se retrouver dans l’obligation de fournir au gouvernement américain l’ensemble des informations personnelles stockées à l’étranger qu’elles détiennent (et sans passer par un tribunal !)

La CJUE a retenu la potentielle surveillance, le manque d’encadrement et de limitations à l’usage des données et l’absence de respect des droits fondamentaux liés au RGPD.

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, ne sont pas encadrées de manière suffisante.

En se fondant sur les constatations figurant dans cette décision, la Cour relève que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en œuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées. La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Par conséquent, toutes les entreprises américaines travaillant sur le sol Européen qui basaient les échanges de données avec les USA uniquement sur la base du Privacy Shield ne peuvent plus le faire.

Au delà de l’aspect purement juridique de cette décision, cela ouvre beaucoup de questions. Le Cloud Act ayant été mis en place en 2018, les données personnelles des ressortissants Européens ne sont plus à l’abri de big brother depuis cette date.

A ceux qui penses que c’est la mort de Facebook ou Microsoft en Europe, je suis désolé de briser votre rêve, en effet ces deux là ont anticipé les choses en mettant en place d’autres fondements (notamment via des Clauses Contractuelles Type).

Par contre, il n’est pas certain que des acteurs plus petits comme Zoom ou Mailchimp l’aient fait …