Deuxième humiliation en deux jours pour la Commission Européenne
Le premier camouflet a eu lieu le 15 juillet : la Cour de Justice de l’Union Européenne (CJUE) annule la décision de la Commission d’infliger une amende de 13 milliards d’euros à Apple [1].
Nous venons d’assister au second camouflet ce 16 juillet. La CJUE récidive en invalidant le Privacy Shield au motif que les lois américaines de protection des données sont moins protectrices que le RGPD européen (Règlement Général sur la Protection des Données). [2]
Le Privacy Shield avait été négocié entre la Commission Européenne et les États Unis en 2016. Cet accord, comme son nom l’indique, est présenté comme un bouclier de protection des données, il offrait la possibilité aux entreprises américaines de rapatrier les données des citoyens européens aux USA tout en assurant une certaine conformité avec les standards de protection des données européens.
Le Privacy Shield venait en remplacement d’un accord précédent, le Safe Harbor, qui avait déjà été retoqué par la CJUE en 2015.
Comme le Safe Harbor avant lui, le Privacy Shield présentait de sérieuses lacunes qui sont à l’origine de ce jugement, notamment :
a) le manque d’engagement des USA sur l’absence de collecte et de traitement massif des données personnelles,
b) les difficultés des autorités publiques européennes pour accéder aux données transférées vers les USA,
c) l’indépendance incertaine du médiateur américain vis à vis des nombreuses agences de renseignement.
Cette décision de la CJUE oblige donc la Commission européenne à négocier un nouvel accord qui devra impérativement mieux respecter les droits des citoyens des pays membres en s’écartant le moins possible du RGPD.
Margrethe Vestager, la vice-présidente en charge de la concurrence, a reconnu ce deuxième échec en deux jours en déclarant « La première chose que l’on fait lorsque l’on reçoit un jugement du tribunal est de le lire très, très attentivement. Et nous sommes toujours en train de le faire. Bien sûr, c’est une défaite, car c’est une annulation par le tribunal ».
Le modèle économique de nombreuses firmes américaines, principalement celles des GAFAM, repose sur la récupération des données personnelles, il est bien évident que ces transferts entre l’UE et les USA ne vont pas s‘interrompre brutalement. Les juges ont prévu un mécanisme de « clauses contractuelles types » qui donnent aux entreprises américaines la possibilité de s’engager, à titre individuel, à respecter certaines précautions quant à l’utilisation des données des utilisateurs basés en Europe. Ce sont ces clauses qui seront utilisées en attendant que la Commission parvienne à un nouvel accord qui, nous l’espérons, aura une durée de vie supérieure à ses précurseurs.
[2] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf