Internet : la CJUE protège les données

30 Juillet 2020
1 352 lectures
Notez l'article : 
0
 

La Cour de justice de l'Union européenne (CJUE) a annulé jeudi 16 juillet l'accord Privacy Shield, dit « bouclier de protection des données », entre les États-Unis et l'Union européenne, qui permet aux entreprises du numérique de transférer légalement les données personnelles de citoyens-nes européens-nes aux États-Unis. La CJUE estime que les données transférées ne sont pas suffisamment encadrées et peuvent faire l'objet d'un espionnage, sans recours possible, les lois américaines étant moins protectrices que le règlement général sur la protection des données (RGDP) en vigueur dans l'Union européenne depuis mai 2018. Le « Privacy Shield », créé en 2016 pour protéger les données personnelles des Européens-nes lors de leur transfert outre-Atlantique à des fins commerciales, remplace un autre accord baptisé Safe Harbor, qui a été rejeté par la CJUE en 2015. Cet accord et son successeur ont été décriés par le défenseur de la vie privée Max Schrems, qui a voulu intenter en 2018 un recours collectif au nom des consommateurs-rices contre Facebook. L'Autrichien estimait alors que Facebook violait les lois sur la vie privée en transmettant certaines de ces données aux services de renseignement américains. « Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis (...) ne sont pas encadrées d'une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, par le principe de proportionnalité », écrit la CJUE dans un communiqué. « Les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire », poursuit la Cour, notant que cette réglementation ne confère pas non plus aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. La cour a cependant confirmé la validité d'un autre mécanisme de transfert de données vers des sous-traitants établis dans des pays tiers, baptisé « clauses contractuelles types ». Ce mécanisme permet à des entreprises de se conformer à la loi européenne en s'engageant, individuellement, à respecter certaines précautions sur l'usage des données de leurs utilisateurs-rices européens-nes.  a CJUE souligne cependant que les autorités de protection de la vie privée doivent suspendre ou interdire les transferts hors de l'UE si la protection des données ne peut être assurée.