La Cour de justice de l’Union européenne vient d'annuler le Privacy Shield, entre les États-Unis et l’Union européenne. Créé en 2016, cet accord dit bouclier de protection des données permettait aux firmes du numérique de transférer légalement les données personnelles de citoyens européens vers les USA. Rappelons d'ailleurs que le Privacy Shield fait suite au Safe Harbor, qui a été également rejeté par la CJUE en 2015.
La justification de ce revirement risque d'ailleurs de faire grincer quelques dents à la Maison Blanche, puisqu'elle estime que les systèmes américains de protection des données ne sont désormais plus suffisants pour permettre l'application de l'accord.Le règlement général relatif à la protection des données (ci-après le «RGPD») dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.
En ce qui concerne le niveau de protection requis dans le cadre d’un tel transfert, la Cour juge que les exigences prévues à cet effet par les dispositions du RGPD, qui ont trait à des garanties appropriées, des droits opposables et des voies de droit effectives, doivent être interprétées en ce sens que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte.
Dans ce contexte, elle précise que l’évaluation de ce niveau de protection doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.
En clair, la Cour estime que les transferts de données ne sont pas suffisamment encadrés, et les données ne sont pas correctement protégées. Elle soulève les risques d'espionnage, l'absence de recours. Il faut dire que les USA ne disposent pas de l'équivalent d'un RGDP et les lois y sont moins protectrices.
Précisons que la juridiction a eu à se prononcer sur la validité de cet accord via un recours collectif intenté par le fervent défenseur de la vie privée Max Schrems contre Facebook. Le citoyen autrichien estimait que la firme ne respectait pas les normes sur la vie privée en transmettant certaines de ses données aux services de renseignement américains.
