C'est la Cour de justice de l'Union européenne (CJUE) qui a pris cette décision. Le 6 octobre, elle a déclaré «invalide» le cadre juridique qui jusqu'ici réglait le transfert des données personnelles de l'Europe vers les Etats-Unis. Une affaire qui concerne un certain nombre de grandes entreprises du numérique, comme le géant Facebook. Pourtant, malgré la décision de justice, le vice-président de la Commission européenne affirme que les transferts «peuvent se poursuivre».
La CJUE, basée au Luxembourg, a examiné les arguments de la plaidoirie de l'activiste autrichien Max Schrems, qui contestait une décision de la Commission européenne datant de l'an 2000. Cette dernière avait estimé, à l'époque, que les Etats-Unis garantissaient un «niveau de protection adéquat» aux données personnelles qui leur étaient transmises.
Mais les révélations d'Edward Snowden concernant le programme de surveillance Prism mis en place par la NSA a mis en pièces ce jugement. Le lanceur d'alerte avait dévoilé que ce programme permettait aux agences américaines du renseignement de disposer d'un accès privilégié aux données des utilisateurs des réseaux sociaux. Pour la CJUE, cette situation porte «atteinte au contenu essentiel du droit fondamental au respect de la vie privée». La Cour de justice a par ailleurs considéré que la Commission «n'avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle».
La Commission était tenue de constater que les Etats-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union. La Cour relève que la Commission n’a pas opéré un tel constat.
C'est la deuxième fois que justice de l'UE s’immisce dans les affaires des géants du net, après sa décision de 2004, concernant le «droit à l'oubli» et qui permet aux utilisateurs de faire repasser dans la sphère privée des informations personnelles qu'ils avaient mises en ligne par le passé.
La remise en question de l'accord «Safe Harbor» pourrait avoir des conséquences encore plus importantes. Elle va en effet contraindre les 4 000 entreprises américaines du net présentes en Europe, telles que Google ou Facebook, à maintenir sur le Vieux continent les données qu'ils y collectent. Un état de fait qui va limiter leur marge de manœuvre, à l'heure où les données personnelles sont considérées comme «le nouveau pétrole».
Le monde réagit
Quelques heures après la décision de la CJUE, le géant Facebook a déjà réagi. Dans un communiqué diffusé par Facebook Europe, la société a jugé «impératif que les gouvernements de l’UE et des Etats-Unis assurent qu’ils continuent de fournir des méthodes fiables pour des transferts de données et qu’ils résolvent les questions liées à la sécurité nationale».
Max Schrems, l’activiste autrichien à l’origine du débat, s’est exprimé depuis le Luxembourg : «ce jugement montre clairement que les entreprises américaines ne peuvent pas simplement s’allier aux efforts de l’espionnage américain en violant les droits fondamentaux européens», s’est-il réjouit.
Une réaction politique a déjà été enregistrée : un ministre allemand a salué depuis Berlin un «signal fort» pour les droits des Européens.
Un précédent en Russie
En juillet 2014, la Russie a voté un amendement fédéral exigeant que les données personnelles de ses ressortissants soient stockées et conservées sur des serveurs au sein des frontières du pays.
Cette loi, qui est entrée en vigueur le 1er septembre 2015, oblige toute entreprise collectant des données sur des citoyens russes à les maintenir à l’intérieur de la Fédération et à obtenir l’accord d’un individu avant de faire sortir ses données de Russie.