La Cour de justice de l'Union européenne a invalidé le Privacy Shield, un accord entre les États-Unis et l'Union européenne sur la manière dont les entreprises américaines traitent les données personnelles des utilisateurs européens, car les protections de la vie privée des utilisateurs européens dans le cadre de ce cadre étaient « inadéquates ».
La décision fait partie de la décision rendue dans l'affaire Facebook contre Schrems, dans laquelle le militant pour la protection de la vie privée Max Schrems s'est plaint auprès du commissaire irlandais à la protection des données que Facebook transférait ses données (et celles d'autres utilisateurs européens) vers des centres de données aux États-Unis. Le problème était qu'en vertu de la loi américaine, la loi de 2018 visant à clarifier l'utilisation légale des données à l'étranger (CLOUD Act), un tribunal américain peut exiger d'une entreprise américaine qu'elle lui remette les données personnelles d'un individu, ce qui signifie que l'entreprise ne serait pas en mesure de fournir aux utilisateurs les contrôles de confidentialité exigés par le règlement général sur la protection des données de l'Europe.
« Concernant le niveau de protection requis à l’égard d’un tel transfert, la Cour estime que les exigences prévues à ces fins par le RGPD (Règlement général sur la protection des données) concernant les garanties appropriées, les droits opposables et les voies de recours effectives doivent être interprétées en ce sens que les personnes concernées dont les données à caractère personnel sont transférées vers un pays tiers en vertu de clauses types de protection des données doivent bénéficier d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE par le RGPD », a déclaré la Cour de justice de l’Union européenne dans son arrêt.
L'UE et les États-Unis ont négocié l'accord-cadre UE-États-Unis sur la protection des données, ou Privacy Shield, après que la Cour de justice de l'UE a invalidé le Safe Harbor en octobre 2015, le jugeant insuffisant pour protéger le droit à la vie privée des citoyens européens. Le Privacy Shield permet aux entreprises américaines de transférer les données des utilisateurs européens hors de l'UE sans avoir à installer de centres de données en Europe spécifiquement dédiés au traitement de ces données. La Cour a statué par cet arrêt que les entreprises ne peuvent pas accorder aux utilisateurs des droits à la vie privée moindres en transférant les données des utilisateurs européens vers des centres de données situés hors d'Europe.
La combinaison de l'article 702 de la loi américaine sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act) et des politiques américaines a démontré que le gouvernement américain était habilité à collecter les données des citoyens de l'UE auprès d'entreprises américaines, « sans se limiter au strict nécessaire », a déclaré la Cour. Ces vastes pouvoirs de surveillance ne répondent pas aux exigences de l'UE en matière de protection des données.
Le Privacy Shield « ne confère pas aux personnes concernées de droits de recours devant les tribunaux contre les autorités américaines », a déclaré la Cour de justice dans sa décision. Ce cadre ne prévoit aucune disposition permettant aux citoyens de l'UE de contester la mauvaise gestion de leurs données stockées sur des serveurs américains par une entreprise américaine.
« Les implications de cette décision sont potentiellement monumentales et ont semé la pagaille au sein de la communauté de la protection de la vie privée », a déclaré Heather Federman, vice-présidente de la confidentialité et des politiques chez BigID.
Dans le cadre du Privacy Shield, les entreprises pourraient définir la confidentialité au moyen de clauses contractuelles types. Cependant, la nouvelle décision indique que les clauses contractuelles types doivent, au minimum, protéger les données des utilisateurs conformément au Règlement général sur la protection des données et aux autres lois sur la protection de la vie privée. En résumé, la protection de la vie privée est liée aux informations, et non à leur lieu de stockage, de traitement ou de transfert. Les entreprises doivent se conformer au RGPD même si les données des utilisateurs européens se trouvent sur des serveurs américains, sous peine de lourdes amendes.
« Les clauses contractuelles types restent un outil valable pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers », a déclaré Vera Jourová, vice-présidente de la Commission européenne. Les sous-traitants de l'UE veilleront à ce que les entreprises ayant signé des clauses contractuelles types respectent le RGPD.