La Cour de justice de l'Union européenne (CJUE) estime dans son arrêt que l'accord UE-USA - baptisé "Privacy Shield" ("bouclier de protection", ndlr) - rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées", car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité "au strict nécessaire".
>> Lire également : L'accord sur le transfert de données entre Bruxelles et Washington invalidé
"Ce qu'il faut comprendre, c'est qu'on a des valeurs, liées à la Constitution ou à la Convention européenne des droits de l'homme, qui sont communes entre la Suisse et l'UE et qui protègent nos données. On peut donc échanger les données dans ces pays-là. Mais dès qu'on sort de cette zone, on doit avoir des mécanismes additionnels puisque notamment les Etats-Unis ont des accès beaucoup plus larges aux données en matière de surveillance qui ne protègent plus le citoyen. Pour éviter que le citoyen ou le consommateur ne soit plus protégé de la même manière parce qu'on sous-traite les données à l'étranger, on impose ces règles supplémentaires, c'est le 'Privacy Shield'", éclaire Sylvain Métille.
Le spécialiste en protection des données rappelle que les défenseurs de la sphère privée étaient contre ce compromis dès le début, car il n'allait pas assez loin au niveau des garanties. "Cet accord ne remet pas en cause certains principes de droit américain. Il ne peut pas empêcher le gouvernement des Etats-Unis d'accéder à ces données", explique-t-il.
"Deux solutions"
Le juriste autrichien Max Schrems, figure de la lutte pour la protection des données, est à l'origine de l'affaire via une plainte contre Facebook. Il réclamait l'interruption du flux de données entre le siège européen du géant américain, en Irlande, et sa maison-mère en Californie. Elles y sont selon lui moins protégées, car elles peuvent être réclamées par des agences de renseignement, comme la NSA ou le FBI, sans recours, ni contrôle, comme l'ont montré les révélations du lanceur d'alerte Edward Snowden.
"Qu'est-ce que signifie cette décision? Cela veut dire que dès aujourd'hui ou dès demain, puisqu'il faudra quand même le temps de s'adapter techniquement, on ne pourra plus invoquer cet accord pour transférer les données aux Etats-Unis. Il y a deux solutions. Premièrement, on arrive à un nouvel accord de type 'Privacy Shield' entre l'Europe et les Etats-Unis dans lequel on aurait une vraie garantie que certaines lois ne seraient pas appliquées aux Européens ou seraient modifiées, ce qui paraît peu probable. Deuxièmement, les entreprises américaines vont devoir fournir des services à destination du marché européen depuis le territoire européen", détaille Sylvain Métille.
Les Etats-Unis se sont dits "profondément déçus" par la décision de la CJUE, susceptible donc de fragiliser les entreprises opérant dans l'UE qui transfèrent ou font héberger des données outre-Atlantique, désormais plongées dans un flou juridique.
La Suisse concernée
La Suisse a un accord similaire avec les Etats-Unis. "Le préposé fédéral à la protection des données n'a pas encore réagi à cette décision. Il devrait donner son avis prochainement et le Conseil fédéral devrait résilier l'accord", anticipe Sylvain Métille.
Le professeur de l'Université de Lausanne assure que les entreprises américaines seront forcées à une toute autre logique. Mais avec deux problèmes. "Le premier, c'est que ces entreprises pourraient dire que le marché suisse ou européen n'est plus assez intéressant et qu'elles ne fournissent plus leurs services. Alors qu'on est quand même fortement dépendants de certains prestataires américains, ce qui peut être un peu ennuyeux. Le deuxième, c'est de savoir dans quelle mesure avoir une filiale, mais qui est quand même financièrement détenue par les Etats-Unis, la soustrait au droit américain, ce qui est peu probable. On risque d'arriver vers un changement assez fondamental."
Propos recueillis par Valérie Hauert
Adaptation web: Guillaume Martinez