« Privacy Shield : les ponts numériques avec les États-Unis sont-ils coupés ? »
Article de Corentin BECHADE – Les Numériques – 18 juillet 2020
La Cour européenne de justice vient d’invalider un texte important dans l’écosystème numérique : le Privacy Shield. Censé simplifier les échanges de données entre Europe et États-Unis, ce texte ne garantit pas des protections suffisantes.
Nouveau coup de tonnerre dans les couloirs de Bruxelles. Après s’être attaquée à l’amende de 13 milliards d’Apple, la Cour de justice de l’Union européenne (CJUE) vient de rendre son avis sur un autre texte fondateur de la politique numérique européenne, le Privacy Shield ou bouclier de protection des données UE-États-Unis dans la langue de Molière.
Ce texte, qui encadrait les échanges de données personnelles entre l’Union européenne et les États-Unis (comme son nom l’indique) vient d’être invalidé par la seconde plus haute juridiction de l’U.E. De quoi plonger de nombreux acteurs outre-Atlantique dans une position délicate, tant il est vrai que la plupart des grandes entreprises du web se reposaient sur ce principe pour traiter les données personnelles des utilisateurs européens.
Pourtant ce dispositif adopté en 2016 fut très critiqué dès sa naissance. Arrivé en remplacement de l’accord Safe Harbor (lui-même retoqué par la CJUE), ce texte avait été très critiqué par les associations de défense de la vie privée et bon nombre de CNIL européennes. Et pour cause, il n’offrait, selon ses détracteurs, pas les protections suffisantes pour préserver efficacement la vie privée des internautes du vieux continent. Les lois américaines sur le renseignement (et notamment le Cloud Act) étant jugées comme bien trop intrusives.
Les lois américaines dans le viseur
“Cette décision, on l’attendait, ce n’est pas vraiment une surprise”, juge Elsa Malaty, avocate en droit des données personnelles chez Hughes Hubbard & Reed LLP. “C’est surtout à cause des lois de surveillance américaines, pas à cause du Privacy Shield en lui-même”. Anne Cousin, avocate spécialisée dans les nouvelles technologies chez Herald, complète : “on se doutait que le Privacy Shield était sujet aux mêmes griefs que le Safe Harbour.” Ces griefs sont simples, les lois étasuniennes sont ici en contradiction avec le principe de minimisation de la récolte des données voulue par le RGPD.
Comme l’explique l’avis de la CJUE, “les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers […], ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.” De l’avis d’Anne Cousin comme de celui d’Elsa Malaty, il faudra forcément une modification des lois étasuniennes avant d’arriver à un nouvel accord.
⇒ Pour un conseil dans le domaine de la protection des données personnelles, nous vous invitons à contacter Anne Cousin, associé, par mail: a.cousin@herald-avocats.com