La CJUE estime que les données transférées ne sont pas suffisamment encadrées et peuvent faire l'objet d'un espionnage, sans recours possible, les lois américaines étant moins protectrices que le règlement général sur la protection des données (RGPD) dans l'UE, entré en vigueur en mai 2018.

Le Privacy Shield, créé en 2016 pour protéger les données personnelles des Européens lors de leur transfert outre-Atlantique à des fins commerciales, remplace un autre accord baptisé "Safe Harbor", lui-même déjà rejeté par la CJUE en 2015.

Cet accord et son successeur ont été décriés par Max Schrems, un Autrichien militant pour la protection de la vie privée des citoyens, qui a voulu intenter en 2018 un recours collectif au nom des consommateurs contre Facebook. Il estimait alors que Facebook violait les lois sur la vie privée en transmettant certaines données aux services de renseignement américains.

"Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis (...) ne sont pas encadrées d'une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, par le principe de proportionnalité", écrit la CJUE dans un communiqué.

"Les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire", poursuit la Cour, notant que cette réglementation ne confère pas non plus aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Max Schrems a salué jeudi la décision de la CJUE en déclarant : "Cela me semble parfait."

DEUXIÈME DÉCISION DÉFAVORABLE À BRUXELLES EN DEUX JOURS

La cour a cependant confirmé la validité d'un autre mécanisme de transfert de données vers des sous-traitants établis dans des pays tiers, baptisé "clauses contractuelles types". Ce mécanisme permet à des entreprises de se conformer à la loi européenne en s'engageant, individuellement, à respecter certaines précautions sur l'usage des données de leurs utilisateurs européens.

La CJUE souligne cependant que les autorités de protection de la vie privée doivent suspendre ou interdire les transferts hors de l'UE si la protection des données ne peut être assurée.

C'est l'agence irlandaise de protection des données, principale autorité de régulation de Facebook en Europe, qui a porté l'affaire devant la Haute Cour irlandaise, qui a elle-même saisi la CJUE.

Le jugement de la CJUE constitue un nouveau camouflet pour Bruxelles après l'annulation mercredi par le Tribunal de l'Union européenne de la décision de la Commission européenne réclamant à Apple le versement de 13 milliards d'euros d'arriérés d'impôts à l'Irlande.

Margrethe Vestager, vice-présidente de la Commission européenne chargée de la politique de la concurrence, a concédé jeudi que les deux décisions rendues par la justice européenne constituaient "une défaite".

"La première chose que l'on fait lorsque l'on reçoit un jugement du tribunal est de le lire très, très attentivement. Et nous sommes toujours en train de le faire. Bien sûr, c'est une défaite, car c'est une annulation par le tribunal", a-t-elle déclaré.

Le commissaire européen à la Justice, Didier Reynders, a dit pour sa part que la Commission allait travailler sur une amélioration de la protection des données.

"Nous étudierons attentivement le jugement et réfléchirons aux moyens opérationnels pour renforcer nos transferts de données", a-t-il déclaré dans un communiqué.

Facebook a dit de son côté étudier les conséquences du jugement de la CJUE.

"Comme de nombreuses entreprises, nous examinons attentivement les conclusions et les implications de la décision de la Cour de justice en ce qui concerne l'utilisation du bouclier de protection des données et nous attendons avec intérêt les directives réglementaires à cet égard", écrit Eva Nagle, l'avocate du groupe, dans un communiqué.

(Avec Kate Abnett à Bruxelles; version française Claude Chendjou, édité par Blandine Hénault et Bertrand Boucey)

par Foo Yun Chee et Marine Strauss