Un accord vieux de quinze ans est tombé mardi. La Cour de justice de l'Union européenne (CJUE) a décidé que le pacte conclu entre l'Union européenne et les Etats-Unis sur le transfert de données était invalide. La décision ne concerne a priori pas que Facebook, qui était à la base de cette décision, mais toutes les entreprises américaines qui importent, sur le sol des Etats-Unis, des données récoltées sur le Vieux continent. La Suisse, liée à l'accord, est également concernée.

A la base de la décision de mardi, attendue mais qui a créé une onde de choc des deux côtés de l'Atlantique, se trouve un homme, Max Schrems. Ce juriste autrichien de 28 ans se bat depuis des années pour que l'Irlande, où est basé Facebook en Europe, ne permette pas à Facebook d'envoyer ses données aux Etats-Unis vers sa maison-mère. L'homme, sensibilisé par les révélations d'Edward Snowden, craignait que ces données ne soient ensuite scannées et utilisées par les autorités américaines.

L'Irlande avait estimé que les Américains donnaient des gages de sécurité suffisant, via l'accord de la "Sphère de sécurité, ou "Safe Harbor", conclu en 2000. Mais la CJUE a été mardi d'un tout autre avis. Selon elle, l'Irlande ne peut se baser sur cet accord et doit absolument répondre à Max Schrems sur le fond de l'affaire. Via cette décision, la Cour de justice de l'Union européenne porte un coup quasi fatal au «Safe Harbor», puisqu'elle estime que les Etats européens n'y sont pas liés.

Mardi après-midi, les experts débattaient de l'impact de cette décision, qui ouvre, de l'avis général, la place à une période d'incertitude. Il y a d'abord le nombre d'entreprises qui sont touchées par la fin du «Safe Harbor». Elles seraient aujourd'hui environ 5000: Facebook, Google, Microsoft, mais aussi une myriade d'entreprises technologies ou de compagnies aériennes qui transfèrent de manière régulière des données d'Etats européens vers les Etats-Unis. Cette décision de mardi «touchera de nombreux contrats entre de nombreuses parties et sera un cauchemar administratif», a réagi Nicola Fulford, spécialiste de la protection des données dans un cabinet d'avocat britannique. 

«Un cauchemar»

«Un cauchemar pour les entreprises américaines  actives en Europe», tel était aussi mardi l'avis du site américain CNet, spécialisé dans les nouvelles technologies. Celui-ci citait un cabinet d'avocat américain, Morrison Foerster, affirmant que l'arrêt de la CJUE les mettait dans «une position impossible». «Nous n'envions pas, au sein de ces entreprises, les responsables de la protection des données et les dirigeants qui devront décider quel loi violer», ajouter Morrisson Foerster.

De son côté, Facebook, le premier visé, a immédiatement réagi mardi en demandant, via un communiqué, que «les gouvernements de l'Union européenne et des Etats-Unis assurent qu'ils continuent de fournir des méthodes fiables pour des transferts légaux de données et qu'ils résolvent toutes les questions liées à la sécurité nationale». Ce nouveau cadre aura un effet en Suisse, qui a aussi conclu un accord de type «Safe Harbor» pour le transfert de données personnelles d'entreprises basées en Suisse vers celles établies aux Etats-Unis. C'est ce qu'a affirmé mardi, sur les ondes de la radio publique alémanique, le porte-parole du Préposé fédéral à la protection des données et à la transparence.