Adopté en juillet 2016 au terme de près d’un an de discussions, le Privacy Shield a toujours fait grand débat. En avril de la même année déjà, le Groupe de travail Article 29 sur la protection des données (G29) mettait en évidence trois points de préoccupation majeurs : la suppression des données, la clarification sur les pouvoirs et l’indépendance du médiateur, et la collecte massive des données. Le Contrôleur européen de la protection des données Giovanni Buttarelli réclamait lui-même « des améliorations significatives », tout comme les nombreuses associations s’opposant à cet accord.
Après quatre ans d’attaques et d’affaires judiciaires, la décision 2016/1250 relative à cet accord a été déclarée « invalide » par la Cour de justice de l’Union européenne. Un coup dur pour les grandes entreprises américaines (Facebook en tête) qui utilisaient allègrement ce dispositif pour traiter les données personnelles des utilisateurs européens, et ce en toute légalité.
Des changements concrets à prévoir ?
En outre, la Cour rappelle notamment que le RGPD s’applique déjà aux opérations de transfert de données à caractère personnel - un effet doublon obsolète, le règlement de l'Union garantissant un niveau de protection optimal au regard de la charte des droits fondamentaux de l’UE. Tout particulièrement, l'institution point un manque d'encadrement pour les limitations de la protection des données à caractère personnel découlant de la réglementation américaine.
Elle estime que les autorités de contrôle se doivent « de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elles estiment (…) que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays ». En d’autres termes, si la décision 2016/1250 et le Privacy Shield sont bien annulés, les entreprises Américaines pourront toujours utiliser les données personnelles des Européens jugées « nécessaires », sous réserve d’être en adéquation avec la réglementation européenne.
Des réactions plus que mitigées
Figure de proue de l’opposition au Privacy Shield et plaignant dans une affaire l’opposant à Facebook Ireland, l’Autrichien Maximillian Schrems a largement salué la décision de la Cour. « Après une première lecture du jugement sur le Privacy Shield, il semble que nous ayons remporté une victoire à 100 % - pour notre vie privée. Les États-Unis devront engager une réforme sérieuse de la surveillance pour que les entreprises américaines retrouvent un statut ‘’privilégié’’ », a-t-il notamment twitté.
Un commentaire loin d’être partagé par le ministère du Commerce Américain, « profondément déçu » par la décision de la CJUE. « Nous étudions toujours la décision [de la Cour, ndlr] pour bien comprendre ses impacts pratiques », a assuré Wilbur Ross, Secrétaire au Commerce des États-Unis. « Alors que notre économie poursuit sa reprise post-Covid 19, il est essentiel que les entreprises – dont les plus de 5 300 partenaires du Privacy Shield – puissent transférer des données sans interruption, conformément aux protections solides offertes par [le dispositif] », a-t-il conclu, appelant à poursuivre les échanges avec la Commission européenne.
