La cour de justice européenne a annoncé l’invalidation du “Privacy Shield”. Ce dispositif, mis en place en 2016, encadré légalement le transfert de données entre l’Europe et les États-Unis. L’accord, déjà vivement critiqué à l’époque, n’était plus suffisant en l’absence de mesure de protection des données dignes du RGPD aux États-Unis. Les conséquences exactes de cette mesure demeurent incertaines.

À l’origine de cette décision, une affaire opposant le militant pour le droit à la vie privée autrichien Maximilian Schrems à Facebook. Le 16 juillet, la cours de justice européenne a rendu sa décision sur cette affaire en revenant sur la décision 2016/1250, qui instaurait le Privacy Shield. 

Les juges ont cherché à déterminer si cette décision était en accord avec le RGPD. Le cœur du problème était les dispositifs américains, autorisant les services de renseignement et les autorités à accéder aux données manipulées par les entreprises américaines, le Cloud Act étant l’exemple le plus connu. La Cour de Justice Européenne a déclaré : “Les limitations de protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrés d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire”. Pour simplifier, la législation américaine ne protège pas suffisamment les données personnels vis-à-vis du RGPD. 

De plus, la Cour considère que les États-Unis ne fournissent pas de voie de recours devant un organisme offrant des garanties équivalentes au RGPD. Ces deux constats ont menés à l’annulation du Privacy Shield.

Le Privacy Shield faisait suite au Safe Harbor, un ensemble de principes de protection des données personnelles, négociées entre les autorités américaines et la Comission européenne en 2001 afin de permettre les transferts de données entre les États-Unis et l’Union Européenne. En octobre 2015, il avait été invalidé. Et pour cause, Internet et le traitement des données a grandement évolué entre 2001 et 2015. Le Privacy Shield avait été signé pour lui succéder, toutefois, il était déjà considéré comme insuffisant en 2016. Avec la signature du RGPD en Europe, du CLOUD Act aux États-Unis, et de l’intérêt de plus en plus grand de l’opinion publique envers la protection des données privées, cet acte devenait de plus en plus problématique. L’Union Européenne devrait rapidement proposer une alternative au Privacy Shield, à condition qu’elle parvienne à trouver un terrain d’entente avec les États-Unis, ce qui est loin d’être garanti. En effet, si le gouvernement américain accorde une protection supérieure aux données des citoyens européens, il devra probablement en faire autant pour ses propres citoyens, or, ses actions pointent dans la direction inverse. 

En l’absence d’accord entre les États-Unis et l’Union Européenne, il est probable que certaines données ne puissent plus être envoyée outre-Atlantique pour être traitée. Toutefois, le périmètre exact atteint par cette mesure demeure flou pour le moment. La Cour de Justice Européenne devrait clarifier la situation dans les semaines à venir.