Facebook et les autres géants d'internet pourraient être contraints de cesser d'envoyer des données personnelles de citoyens européens vers les États-Unis, après le coup fatal porté mardi par la justice européenne au cadre juridique de ces transferts transatlantiques.
La Cour de justice de l'Union européenne (CJUE) a qualifié d'«invalide» le régime qui encadre depuis quinze ans ces transferts de données à des fins commerciales, connu sous le nom de «Safe Harbour».
Elle se prononçait dans une affaire impliquant le réseau social Facebook, mais des milliers d'entreprises sont concernées par cet arrêt qui place l'UE et les États-Unis dans l'obligation de combler rapidement ce vide juridique.
«Nous sommes profondément déçus par la décision», a réagi dans un communiqué la secrétaire au Commerce, Penny Pritzker.
Celle-ci «crée une incertitude importante pour les entreprises et les consommateurs à la fois américains et européens et met en péril l'économie numérique transatlantique, qui est en plein essor», a-t-elle affirmé.
En attendant, «les transferts de données entre entreprises peuvent se poursuivre sur la base d'autres mécanismes» juridiques, a tenu à rassurer la Commission européenne, en promettant de publier rapidement des «lignes directrices claires» pour éviter un «patchwork» de décisions nationales après l'arrêt de mardi.
Les données en question englobent toutes les informations permettant d'identifier un individu, de manière directe (nom, prénom, photo ou encore empreinte) ou indirecte (numéro de sécurité sociale ou même numéro de client par exemple).
Certaines entreprises comme Facebook, qui recueillent ces données partout dans le monde, les transfèrent ensuite sur des serveurs situés sur le territoire américain.
La décision de la CJUE «est un coup majeur pour la surveillance de masse exercée par les États-Unis, qui repose lourdement sur des partenaires privés», s'est réjoui le juriste autrichien Max Schrems, à l'origine du recours en Irlande qui a conduit la justice européenne à se prononcer.
S'appuyant sur les révélations sur les pratiques du renseignement américain, en particulier après l'affaire Snowden, Max Schrems s'était adressé aux autorités de contrôle en Irlande, d'où la filiale irlandaise de Facebook transfère les données personnelles de ses abonnés européens vers des serveurs situés aux États-Unis. Il affirmait que les États-Unis n'offraient pas de garanties suffisantes de respect de la vie privée.
«Merci l'Europe»
«Ce jugement montre clairement que les entreprises américaines ne peuvent pas simplement s'allier aux efforts de l'espionnage américain en violant les droits fondamentaux européens», a estimé M. Schrems, qui avait fait le déplacement au Luxembourg mardi.
Edward Snowden, l'informaticien américain à l'origine de révélations sur les programmes de surveillance américains et aujourd'hui réfugié à Moscou, a de son côté lancé un «Merci l'Europe» sur son compte Twitter.
«Cette affaire ne concerne pas Facebook», s'est empressé de commenter mardi le réseau social, soulignant que la justice européenne ne lui avait rien reproché dans ses pratiques, mais qu'elle visait le cadre juridique existant. L'entreprise a pressé l'UE et les États-Unis de trouver une solution pour sécuriser les transferts de données sur le plan juridique.
La Commission européenne a rappelé de son côté que depuis les révélations de Snowden, elle bataillait pour négocier avec les États-Unis un meilleur cadre juridique. Mais elle n'a jusqu'à présent pas obtenu toutes les garanties demandées aux Américains, alors que Mme Pritzker a appelé pour sa part à la négociation et la publication rapides d'un accord revu.