6 octobre 2015

Tout s’explique

L’Europe invalide le transfert de données personnelles aux États-Unis

Qu’est-ce que le « safe harbor » ?

La Cour de justice de l’Union européenne a invalidé ce matin le cadre juridique autorisant le transfert automatique des données personnelles des internautes européens vers les États-Unis. Régi par une directive de la Commission européenne de 2000, ce dispositif permettait à plus de 4 000 entreprises américaines (Facebook, Google, etc.) d’aspirer les données européennes pour les stocker aux États-Unis. La Cour estime qu’en les mettant à disposition des agences de renseignement américaines, comme l’ont montré les révélations d’Edward Snowden, les entreprises du Net ont porté « atteinte au contenu essentiel du droit fondamental au respect de la vie privée ». D’après les termes de l’accord initial, les États-Unis étaient considérés comme un « safe harbor » (une sphère de sécurité). La justice européenne estime désormais que ce pays n’est pas suffisamment sûr pour y laisser ses données.

Sur quoi les juges se sont-ils appuyés ?

Cette décision de justice trouve sa source dans le combat du juriste Maximilian Schrems contre Facebook. Cet Autrichien de 27 ans avait déposé une plainte en 2013 contre le réseau social. Il s’opposait au transfert de ses données privées vers les États-Unis, en pointant leur accès par les agences de renseignement. Max Schrems s’était adressé aux autorités de contrôle en Irlande, où le siège européen de Facebook est installé. L’examen de sa requête a été refusé, les autorités estimant que les États-Unis assuraient un niveau de protection suffisant. C’est cette décision que la Cour de justice de l’UE a rejetée aujourd’hui.

Quelles sont les conséquences pour les utilisateurs ?

À ce stade, la Cour oblige seulement l’autorité de contrôle irlandaise à examiner en détail la plainte de Maximilian Schrems. Celle-ci devra se prononcer sur une suspension éventuelle du transfert des données Facebook de cet internaute vers les États-Unis. La directive européenne prévoit néanmoins un régime d’exceptions : l’utilisateur peut continuer à envoyer ses données vers un pays au niveau de protection faible s’il donne son consentement. Facebook, Google et consorts pourraient l’obtenir en modifiant leurs conditions d’utilisation.