Bases de données
La Cour de justice de l'Union européenne a invalidé le «Safe Harbour», le cadre juridique qui réglemente les transferts de données personnelles entre l'Europe et les Etats-Unis. Des milliers d'entreprises sont concernées.

Tempête sur les données personnelles. La Cour de justice de l'Union européenne (CJUE) a invalidé, mardi 6 octobre, le cadre juridique qui régissait depuis quinze ans les transferts de données personnelles à des fins commerciales de l'UE vers les Etats-Unis. Une législation connue sous le nom de «Safe Harbour». Elle concerne tout ce qui rend possible l’identification d’un individu de manière directe (nom, prénom, photo ou encore empreinte) ou indirecte (numéro de sécurité sociale ou même numéro de client par exemple).

 

Tout commence par une requête contre Facebook d'un juriste autrichien, Max Schrems, devant la justice irlandaise. En s'appuyant sur les révélations concernant la NSA (National Security Agency), en particulier après l'affaire Snowden, le juriste s'était adressé aux autorités de contrôle en Irlande, d'où la filiale irlandaise de Facebook transfère les données personnelles de ses abonnés européens vers des serveurs situés aux Etats-Unis. Il revendiquait le droit de s'opposer au transfert de ses données, considérant que les Etats-Unis n'offraient pas de garanties suffisantes de respect de la vie privée. Il avait alors été renvoyé dans les cordes par les autorités irlandaises, celle-ci estimant que le «Safe Harbour», qui date de 2000, garantissait un niveau assez élevé de sécurité.

 

Mais le jeune juriste ne baisse pas les bras. Il lance une deuxième offensive auprès de la justice irlandaise, qui décide alors de saisir la Cour de justice de l’UE. Celle-ci vient donc de lui donner raison en dépit de la décision de la Commission qui avait validé la législation. La Cour de justice tranche: «L'existence d'une décision de la Commission constatant qu'un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle.» Rendant ainsi à chaque pays le soin de disposer de sa propre mesure du cadre juridique. La Commission «n'avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle», a-t-elle jugé, déclarant donc «invalide» la décision de l'éxécutif européen.

 

Cet arrêt cinglant pourrait bloquer le transfert des données de tous les abonnés européens de Facebook. Le réseau social américain a jugé impératif que les Etats-Unis et l'UE trouvent une solution pour garantir des «méthodes fiables de transferts légaux de données». Un sérieux camouflet. Mais l’entreprise de Mark Zuckerberg a insisté sur le fait qu’elle n’était pas la seule concernée. «Cette affaire ne concerne pas Facebook», a fait savoir le réseau social. Des milliers d’entreprises sont concernées par le «Safe Harbour».

 

Tout n’est pas gelé pour autant. Les transferts de données personnelles «peuvent se poursuivre», a estimé Frans Timmermans, vice-président de la Commission européenne, après l’arrêt de la Cour de justice. Pendant que la Commission négocie de nouvelles règles, «les transferts de données peuvent se poursuivre sur la base d'autres mécanismes», a-t-il souligné. Mais Bruxelles publiera prochainement des lignes directrices à destination des autorités nationales. Et ce, afin d'éviter un «patchwork avec des décisions nationales qui partiraient dans tous les sens», a annoncé M. Timmermans. 

Suivez dans Mon Stratégies les thématiques associées.

Vous pouvez sélectionner un tag en cliquant sur le drapeau.