Cela signifie en fait que la Cour de justice ne pense pas que les données des ressortissants de l’UE soient détenues et protégées aux États-Unis sous les mêmes restrictions que celles prévues par les règles de l’UE.
Cette décision ouvre la voie aux régulateurs européens pour déclarer illégaux tous les flux de données reposant sur le cadre du Bouclier de protection des données.
“Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance, si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché de l’UE”, a déclaré Schrems à propos de la décision.«Comme l’UE ne changera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter cet affrontement est que les États-Unis introduisent de solides droits à la vie privée pour tous, y compris les étrangers. La réforme de la surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley. »
Privacy Shield est apparu après que Schrems a contesté la validité de Safe Harbor devant les tribunaux en 2013 à la suite des révélations de Snowden sur la National Security Agency. Cette affaire s’appelait Schrems I, et la dernière est intitulée Schrems II.
Le militant, un utilisateur de Facebook, a fait valoir à l’époque que le transfert de ses données de l’entreprise de sa filiale en Irlande au siège social en Californie ne respectait pas sa vie privée.
Lorsque la Cour de justice a invalidé Safe Harbor, Facebook a eu recours à des clauses contractuelles dites standard (CSC) pour opérer dans l’UE (ce que d’autres entreprises technologiques peuvent faire jusqu’à ce qu’un nouveau mécanisme de protection des données soit négocié). Les CSC sont des contrats de transfert de données signés entre l’UE et des pays tiers si la Commission européenne décide que ces pays offrent des garanties suffisantes en matière de protection des données.
La décision de jeudi du tribunal n’a pas invalidé les CSC comme elle l’a fait avec le Bouclier de protection des données, bien qu’il ait convenu que les régulateurs européens (APD) doivent examiner les CSC existants et intervenir s’ils estiment que la protection des données dans ces pays tiers n’est pas dûment appliquée.
L’une des décisions les plus attendues en matière de protection des données s’est terminée avec la décision des juges européens que les protections américaines pour les données personnelles des citoyens de l’UE ne sont pas conformes aux règles de confidentialité européennes.
La Cour de justice de l’Union européenne a annulé le mécanisme actuel des flux de données UE-États-Unis au motif que les États-Unis n’offrent pas une protection adéquate des données.
L’accord sur le bouclier de protection des données a été rapidement négocié en 2016 pour remplacer le précédent pacte transatlantique, Safe Harbor, que le tribunal a également déclaré invalide. Privacy Shield est utilisé par de nombreuses sociétés de technologie basées aux États-Unis, comme Facebook, pour transférer des données personnelles d’Europe vers les États-Unis pour traitement.
Maximillian Schrems, ressortissant de l’UE, a contesté la légitimité du mécanisme, faisant valoir que les activités de surveillance de masse des États-Unis, qui ont été très publiquement détaillées par Edward Snowden, violent les droits fondamentaux des citoyens de l’UE à la vie privée et sont contraires aux intérêts nationaux de l’UE.
Le jugement historique , rendu jeudi, indique que le gouvernement américain peut en effet fouiller dans les données personnelles détenues sur des serveurs américains, en invoquant des exigences de sécurité nationale ou d’application de la loi. Le tribunal a jugé que la création d’un poste de médiateur du bouclier de protection des données ne pouvait pas compenser cette intervention.
