UE : les Etats membres vont-ils suspendre le transfert de données vers les Etats-Unis ?

UE : les Etats membres vont-ils suspendre le transfert de données vers les Etats-Unis ? L'avocat général de la CJUE estime que les données personnelles des abonnés de Facebook ne sont pas protégées outre-Atlantique.

Les Etats membres de l'Union Européenne doivent pouvoir bloquer le transfert de données vers les Etats-Unis. C'est la conclusion tirée par l'avocat général de la Cour de justice de l'Union européenne (CJUE), dans un avis rendu mercredi. Yves Bot devait se prononcer sur une affaire opposant l'autrichien Max Schrems qui, indigné par les révélations d'Edward Snowden sur la surveillance massive des données personnelles aux Etats-Unis, avait porté plainte contre Facebook devant l’Autorité irlandaise de protection de la vie privée. Son grief : le réseau social transfère les données des utilisateurs européens aux Etats-Unis et les conservent sur ses serveurs aux Etats-Unis –où elles pourraient donc faire l'objet de la surveillance "massive et non ciblée" exercée par les services de renseignement.

Surveillance massive et non ciblée

La Haute Cour de justice irlandaise –saisie car le siège européen de Facebook se trouve à Dublin- avait rejeté la plainte, renvoyant à une décision de la Commission européenne de juin 2000 estimant que les Etats-Unis avaient un niveau de protection suffisant. Mais l'avocat général de la CJUE estime que la plainte n'aurait pas dû être rejetée : selon lui, les "Cnil" nationales peuvent estimer elles-mêmes la qualité de la protection des données et en suspendre le transfert si nécessaire.

Le Safe Harbor jugé invalide

Yves Bot juge ainsi "invalide" le fameux "Safe Harbor", cet accord de protection des données personnelles établi en 2000 entre les Etats-Unis et la Commission européenne qui permet aux entreprises américaines y adhérant et respectant ses principes de collecter et d'exploiter des données en Europe sans obtenir d'autorisation des autorités nationales de contrôle. Selon l'avocat général, les données personnelles sont collectées "à large échelle" aux Etats-Unis "sans que les Européens bénéficient d’une protection juridictionnelle effective". 

Il ne s'agit pas de la décision définitive de la CJUE, mais les avis de l'avocat général sont généralement confirmés. Et dans ce cas, le transfert de données de l'Europe aux Etats-Unis pourrait être remis en cause, obligeant les entreprises à négocier avec les Cnil ou à installer des serveurs en Europe.