Protection de la vie privée : la justice européenne met fin au « Privacy shield »

La Cour de justice de l’Union européenne (CJUE) a mis fin, mi-juillet, à un arrêt invalidant le « Privacy shield », le régime de transferts de données entre l’Union européenne et les États-Unis. Une avancée majeure pour la protection de la vie privée, mais un coût supplémentaire pour les entreprises.

La Cour de Justice de l’Union européenne (CJUE) a mis fin, le 16 juillet 2020, au « Privacy shield », le régime de transferts de données entre l’Union européenne et les États-Unis. Elle a estimé que les outils de surveillance déployés aux États-Unis, notamment par la NSA (National Security Agency, l’agence nationale de sécurité américaine), sont incompatibles avec la protection des données personnelles garantie en théorie aux citoyens Européens.

Un surcoût administratif et un risque juridique pour les entreprises

Cette décision constitue une avancée dans la protection de la vie privée, mais va compliquer la vie des entreprises, souligne Pierre Delort, président de l’ANDSI (Association nationale des directeurs de système d’information). En effet, les entreprises devront désormais vérifier elles-mêmes et au cas par cas ce qui advient des données qu’elles collectent, précise Alban Maggiar, délégué aux Affaires européennes de la CPME (Confédération des petites et moyennes entreprises). Ce qui représente un surcoût administratif, mais aussi un risque juridique, si elles commettaient des erreurs.

Microsoft rassure sa clientèle

L’invalidation du Privacy shield  est diversement appréciée. Si la CCIA (Computer & Communication Industry Association) et l’Itif (Information Technology and Innovation Foundation) déplorent une décision créant une insécurité juridique, la Business Software Alliance, qui représente les intérêts des éditeurs logiciels, estime « qu’il n’y a pas péril en la demeure ».

Une position partagée par Microsoft : « Nous voulons être clairs : si vous êtes un client commercial, vous pouvez continuer à utiliser les services Microsoft conformément au droit européen. La décision de la Cour ne modifie pas votre capacité à transférer des données aujourd’hui entre l’UE et les Etats-Unis à l’aide du cloud Microsoft. », a commenté la firme informatique.

CNIL analyse l’arrêt de la CJUE

Au-delà des explications de la CJUE, la Commission nationale de l’informatique et des libertés (CNIL) procède de son côté à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis.