Les entreprises technologiques comme Facebook doivent restreindre les données envoyées de l'UE aux États-Unis, selon les tribunaux | La technologie

16 juillet 2020 0 Par Village FSE

Les entreprises technologiques comme Facebook pourraient être empêchées de renvoyer des données aux États-Unis, après que la dernière décision dans une saga juridique européenne de longue date a révélé qu'il n'y avait pas suffisamment de protections contre l'espionnage par les agences de renseignement américaines.

La décision de la Cour de justice de l'Union européenne (CJUE) ne met pas immédiatement fin à ces transferts, mais oblige les autorités de protection des données (DPA) des différents États membres à contrôler l'envoi de toute nouvelle donnée pour s'assurer que les informations personnelles des personnes restent protégées conformément à aux lois de l'UE sur la protection des données (RGPD).

La plainte, qui remonte à octobre 2014, a été déposée par le militant autrichien de la vie privée Max Schrems. Il a fait valoir, à la suite des révélations de Snowden, que la vie privée des citoyens européens ne pourrait pas être garantie si leurs données étaient envoyées aux États-Unis, compte tenu des preuves d'écoute généralisée par la National Security Agency (NSA) du pays et du fait que les autorités Le système ne protégeait que les droits des citoyens américains.

La plainte initiale de Schrems a conduit à l'annulation de la «sphère de sécurité» UE / États-Unis, qui régissait le transfert de données entre les deux pays, et à la création d'un nouveau traité, le «bouclier de protection des données» UE / États-Unis. Cette dernière décision a également renversé cette politique.

« À première vue, il semble que le tribunal nous a suivis dans tous les aspects », a déclaré Schrems dans un communiqué. «C'est un coup dur pour la DPC irlandaise (commission de protection des données) et Facebook. Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle sur le marché de l'UE. »

« Le tribunal dit non seulement au DPC irlandais de faire son travail après sept ans d'inaction, mais aussi que les DPA ont le devoir d'agir et ne peuvent pas simplement détourner le regard », a-t-il ajouté. «Il s'agit d'un changement fondamental qui va bien au-delà des transferts de données UE-États-Unis. Des autorités comme le DPC irlandais ont jusqu'à présent sapé le succès du RGPD. Le tribunal a clairement dit aux autorités chargées de la protection des données d'aller de l'avant et d'appliquer la loi. »

La décision n'est pas un arrêt total des transferts de données entre l'UE et les États-Unis, a déclaré Lisa Peets, partenaire de Covington, qui représentait l'industrie britannique du logiciel dans cette affaire. Le tribunal a confirmé l'utilisation de «clauses contractuelles types» (CSC) pour transférer des données personnelles entre l'Europe et les États-Unis, permettant aux entreprises de demander le consentement spécifique des utilisateurs pour que les données soient exportées.

« Les flux de données entre l'Europe et les États-Unis font partie intégrante de l'économie européenne et de la vie quotidienne de millions de consommateurs européens, et les SCC sont l'épine dorsale de bon nombre de ces transferts de données », a déclaré Peets. « En ce qui concerne le bouclier de protection de la vie privée, la Commission européenne sera très concentrée sur la recherche d'une résolution et travaillera activement avec le gouvernement américain pour identifier une voie à suivre. »

Avec la fin de l'accord de retrait du Brexit à l'horizon, la décision pose également de nouveaux problèmes au Royaume-Uni dans la définition de ses futures relations avec l'UE. Sans un nouveau remplacement du bouclier de confidentialité, le Royaume-Uni pourrait être contraint de choisir entre des transferts de données sans friction avec les États-Unis ou l'UE le 31 décembre, a averti Toni Vitale, partenaire et responsable de la protection des données chez JMW Solicitors.

« Après le Brexit, le Royaume-Uni pourrait être considéré comme ayant une protection inadéquate étant donné le manque de contrôle judiciaire sur les forces de sécurité », a ajouté Vitale, « et cela pourrait conduire à une interdiction des exportations de données de l'UE vers le Royaume-Uni à l'avenir. . «