Le règlement général relatif à la protection des données (RGPD) dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.
Dans sa décision 2000/520, la Commission européenne cru bon de décider que les États-Unis assuraient un niveau adéquat de protection avec la « Sphère de sécurité ».
Une décision invalidée par la Cour de justice de l’Union européenne (CURIA) le 6 octobre 2015.
En toute hâte, la Commission européenne a alors promis à ses concitoyens par sa décision 2016/1250 que la protection assurée par le « Bouclier de protection des données UE-Etats-Unis », remplaçant de la sphère de sécurité, était adéquat.
Aujourd’hui, la CURIA déclare cette décision invalide. Ce que nous avons toujours soutenu.
Ce bouclier fut dès son annonce vivement critiqué par le groupe de travail « Article 29 » des agences de protection des données. Il fut remis en cause par l’ordre exécutif de janvier 2017 de Donald Trump. Le deuxième examen annuel du bouclier constatait que les États-Unis n’avaient toujours pas nommé un médiateur permanent, comme ils en avaient l’obligation.
Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.
En particulier, le bouclier ne confère aux citoyens européens aucun droit opposable aux autorités américaines devant les tribunaux.
Quant à l’exigence de protection juridictionnelle, la Cour juge que, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains.
Aujourd’hui encore, cette victoire pour les citoyens européens est due au combat de Maximilian Schrems pour faire interdire par les autorités irlandaises, à Facebook de transférer ses données personnelles vers des serveurs aux États-Unis (affaire C-311/18 Data Protection Commissioner/Maximilian Schrems et Facebook Ireland).
Cette décision est à nouveau un désaveu de la Commission européenne, qui a toujours fait passer les accords commerciaux, parfois secrets, au détriment de la protection de ses citoyens.
La Commission se console par le constat que la CURIA n’a pas remis en cause dans sa décision les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.
Dans ces conditions, il n’apparaît pas encore clairement dans quelle mesure la décision de la CURIA va avoir un impact sur les échanges transatlantiques de données personnelles.
D’après Vera Jourová, vice-présidente de la Commission et l’une des architectes du bouclier, les échanges continuent avec les clauses contractuelles types et les règlements obligatoires d’entreprise.
Pour l’US IT and Innovation Foundation, la décision est irresponsable et mettrait en danger tous les transferts de données.
Enfin, pour Schrems, les États-Unis vont devoir changer en profondeur leurs lois de surveillance si ses entreprises veulent continuer de jouer un rôle dans le marché européen.