Privacy shield : « La situation d’incertitude juridique créée par la Cour de Justice de l’UE est à bien des égards intenable »

Tribune. Il n’y a pas que la nature, selon l’adage cartésien, qui a horreur du vide. L’activité économique, pour laquelle on ne dira jamais assez l’importance de la notion de confiance, est également allergique au vide, notamment au vide juridique. Dans le domaine numérique, l’actualité récente vient de le rappeler.

Il y a quelques jours, la Haute Cour de justice irlandaise a ainsi débouté Facebook, lequel contestait le projet de décision du commissaire à la protection des données portant sur la suspension des transferts de données de résidents européens vers les Etats-Unis. Si pour Facebook la question de la protection des données est une saga au long cours, il s’agit en réalité d’un problème beaucoup plus vaste, qui concerne une bonne partie de l’économie numérique.

Article réservé à nos abonnés Lire aussi « L’enjeu économique fondamental qu’est la donnée mérite mieux que le populisme actuellement à l’œuvre dans le débat public »

En effet, avec sa décision « Schrems II » du 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le système dit du Privacy Shield (accord transatlantique sur l’échange des données), qui permettait le transfert de données personnelles depuis l’Europe vers les Etats-Unis. Désormais, l’ensemble des organisations qui procèdent au transfert de données hors de l’Espace économique européen (EEE) doit s’assurer que les clauses contractuelles type (SCC ou « standard contractual clauses ») – qui organisent un tel transfert – répondent aux exigences de protection, notamment pour prévenir l’accès de gouvernements de pays tiers.

Pour un nouvel accord

La situation d’incertitude juridique créée par la CJUE est à bien des égards intenable, pour au moins deux raisons. La première est qu’elle vient directement miner l’impact du Règlement général sur la protection des données (RGPD), dont l’Union européenne (UE) a fait l’une des pierres d’angle de sa conception de la régulation du Web. Le RGPD en tant que tel ne peut avoir de portée que s’il est appuyé sur des textes qui permettent une application hors du territoire européen.

Article réservé à nos abonnés Lire aussi « Le projet européen de réglementation de l’intelligence artificielle oublie les citoyens »

Or, sans le Privacy Shield, le RGPD est largement inopérant, car les données ne sont pas, pour la plupart d’entre elles, stockées en Europe. La seconde, c’est que la jurisprudence « Schrems II », si elle confirme que les SCC peuvent être utilisées par les entreprises, fait reposer sur ces dernières la responsabilité d’évaluer dans quelle mesure le système légal et les pratiques de tel ou tel pays satisfont bien le niveau de protection requis : il en résulte un coût très important pour elles, ainsi qu’une réelle insécurité juridique, particulièrement difficile à surmonter pour les entreprises de taille moyenne.

Il vous reste 40.45% de cet article à lire. La suite est réservée aux abonnés.