Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La Cour de justice de l’Union européenne annule le Privacy Shield

Schrems : 2 - Commission européenne : 0
Droit 6 min
La Cour de justice de l’Union européenne annule le Privacy Shield
Crédits : ADragan/iStock

Second coup de tonnerre européen en deux jours : la CJUE vient d’annuler le Privacy Shield. Elle valide par contre les clauses types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

Après avoir fait annuler le « Safe Harbor » en 2015, l’Autrichien Maximillian Schrems s’est attaqué aux transferts des données personnelles vers les États-Unis. Il estime que les clauses contractuelles de Facebook ne seraient pas conformes aux règles publiées par la Commission européenne en 2010. 

Pour poser le décor, la Cour de justice de l’Union européenne (CJUE) rappelle que Schrems « est un utilisateur de Facebook depuis 2008. Comme pour les autres utilisateurs résidant dans l’Union, les données à caractère personnel de M. Schrems sont, en tout ou en partie, transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement ».

Après le Safe Harbor, la CJUE dégomme le Privacy Shield

L’histoire débute par une plainte auprès de l’autorité irlandaise de régulation et de contrôle avec pour but de « faire interdire ces transferts », en soutenant que le « droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays ». 

Comme le rappelle la Cour, le règlement général relatif à la protection des données (RGPD) prévoit que le « transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données ». Les révélations d’Edward Snowden sont un exemple parmi d’autres des « libertés » prises par les agences de renseignements américaines comme la NSA et le FBI.

L’Irlande a rejeté cette plainte « au motif notamment que, dans sa décision 2000/520, la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection ». Fin de l’histoire ? Non, pas vraiment. Un chamboulement est intervenu le 6 octobre 2015 quand la CJUE a jugé cette décision invalide faisant des confettis du Safe Harbor.

Suite à cette annulation, l’autorité de contrôle irlandaise a donc invité Maximillian Schrem à « reformuler sa plainte ». Sans surprise, il y maintient que les États-Unis « n’offrent pas de protection suffisante des données », et demande donc de « suspendre ou d’interdire » le transfert des données à caractère personnel « que Facebook Ireland réalise désormais sur le fondement des clauses types de protection figurant à l’annexe de la décision 2010/87 ».

Pour l’autorité irlandaise, la question de la validité de cette décision 2010/87 se pose et elle lance donc une procédure devant la High Court afin que cette dernière soumette à la Cour de justice de l’Union européenne une demande préjudicielle. Cette procédure permet pour rappel « d'interroger la Cour sur l'interprétation du droit de l’Union ou sur la validité d'un acte de l’Union. La Cour ne tranche pas le litige national. Il appartient à la juridiction nationale de résoudre l'affaire conformément à la décision de la Cour ».

Une seconde affaire vient se greffer en cours de route : « Après l’ouverture de cette procédure, la Commission a adopté la décision (UE) 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis », alias Privacy Shield.

La CJUE devait se prononcer sur les deux décisions, le verdict vient de tomber : « par son arrêt de ce jour, la Cour constate que l’examen de la décision 2010/87 au regard de la charte des droits fondamentaux de l’Union européenne ne révèle aucun élément de nature à affecter sa validité. En revanche, elle déclare la décision 2016/1250 invalide ».

Ainsi, la décision de la Commission européenne sur le « bouclier de protection des données UE-États-Unis » est purement et simplement annulée. Après l’annulation du redressement fiscal de 13 milliards d’euros d’Apple, c’est un nouveau camouflet pour la Commission européenne.

La prémonition de Maximillian Schrems

Maximillian Schrems était sceptique sur l’efficacité de ce « bouclier de la vie privée », expliquant qu’il était « le produit de la pression des États-Unis et de l'industrie des technologies, non le fruit d’une démarche rationnelle ou de considérations raisonnables. Il est un peu plus qu'une petite mise à jour de Safe Harbor, mais non un nouvel accord ».

Il ajoutait que cet accord était « mauvais pour les utilisateurs, qui ne pourront profiter des protections appropriées contre les atteintes à la vie privée, mais également pour les entreprises qui font face à une législation instable ». Pour lui, « la Commission européenne et le gouvernement des États-Unis ont finalement réussi à mécontenter tout le monde ».

Dans une tribune sur The Irish Time, il ajoutait : « étant donné ses nombreux manquements, il est très probable qu’il soit invalidé par la justice européenne ». La CJUE vient de lui donner raison.

Les protections aux États-Unis sont insuffisantes

Pour justifier sa décision, la CJUE explique que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, […] ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ». Un point qui ne devrait pas surprendre grand monde…

Dans son exposé des faits, elle ajoute que « contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains ».

Les clauses types validées

Par contre, la décision 2010/87 sur les « clauses types pour le transfert de données vers des sous-traitants dans des pays tiers est validée ». Elle ajoute quelques précisions au passage que « cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». 

Elle ajoute que « cette décision instaure une obligation pour l’exportateur des données et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier ».

Maximillian Schrems aux anges

Sans surprise, Maximillian Schrems se félicite de ce jugement : « après une première lecture de l'arrêt du Privacy Shield, il semble que nous ayons remporté une victoire à 100 %, pour notre vie privée. Les États-Unis devront engager une réforme sérieuse de la surveillance pour retrouver un statut "privilégié" pour les entreprises américaines ».

121 commentaires
Avatar de NI Abonné
Avatar de NINI- 16/07/20 à 09:44:04

A l'aise ! Comment les states dégomment notre pognon et nos données grâce à une CJUE toujours plus libérale qui prend des décisions contre les peuples européens.

La suppression de la CJEU ou la sortie de l'Europe, c'est pour quand ?

Avatar de David-GDE Abonné
Avatar de David-GDEDavid-GDE- 16/07/20 à 09:46:39

Heureusement que nos données santé sont hébergée par un service Français ... Ho Wait ... 😨😨

Avatar de plopl Abonné
Avatar de ploplplopl- 16/07/20 à 09:47:22

Relis l'article…

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 16/07/20 à 09:48:46

ah parce que tu crois que ça serait mieux à 27 chacun dans son coin avec les US en face? ^^

Avatar de HiTz Abonné
Avatar de HiTzHiTz- 16/07/20 à 09:51:01

NI a écrit :

A l'aise ! Comment les states dégomment notre pognon et nos données grâce à une CJUE toujours plus libérale qui prend des décisions contre les peuples européens.

La suppression de la CJEU ou la sortie de l'Europe, c'est pour quand ?

Lire l'article avant de commenter avec un discours prêt à l'emploi et qui ne respire pas la subtilité.

Avatar de secouss Abonné
Avatar de secousssecouss- 16/07/20 à 09:51:06

plopl a écrit :

Relis l'article…

Peut être qu'il a commenté le titre ^^'

En tout cas c'est encore un sacré shoot que se prennent ces accords clairement bancales pour laisser les américains pomper les données européennes !

Avatar de FreeFrench Abonné
Avatar de FreeFrenchFreeFrench- 16/07/20 à 09:55:37

Conséquences pour facebook et les GAFAM & hébergeurs américains s'il vous plait ?

Tout va être hébergé en UE ?

Quid des hébergeurs suisses ?

Bonne nouvelle pour OVH et scaleway ?

Merci :)

Avatar de ragoutoutou Abonné
Avatar de ragoutoutouragoutoutou- 16/07/20 à 09:57:13

Il faut voir qu'aux USA, depuis l'apparition du pricvacy shield, de nombreux états ont voté des lois pour l'affaiblir et remettre les données des citoyens EU faciles d'accès pour la justice américaine. De même, la ministère de la justice US considérait comme normal de réquisitionner les données personnelles stockées sur des serveurs appartenant à des entreprises US hébergés en europe.

Avatar de Anteo Abonné
Avatar de AnteoAnteo- 16/07/20 à 10:00:08

Mais du coup les données émises en Europe (de fb par ex) vont où en ce moment? Toujours sur des serveurs sur le sol américain non? Donc on est en train d'ériger un accord alors que ça se passe déjà (et depuis toujours)? Comprends pas

Avatar de Frédérick L. Abonné
Avatar de Frédérick L.Frédérick L.- 16/07/20 à 10:16:24

Je crois qu'il existe déjà des hébergements & serveurs sur le sol européen, ou du moins hors-USA.

Microsoft et Google en ont en Irlande il me semble.

Facebook a des serveurs/datacenter dans un pays nordique (Norvège, Suède ou Finlande).

Il n'est plus possible de commenter cette actualité.
Page 1 / 13
  • Introduction
  • Après le Safe Harbor, la CJUE dégomme le Privacy Shield
  • La prémonition de Maximillian Schrems
  • Les protections aux États-Unis sont insuffisantes
  • Les clauses types validées
  • Maximillian Schrems aux anges
S'abonner à partir de 3,75 €