Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE), a annulé la décision de la Commission européenne qui reconnaissait le Privacy Shield comme un « bouclier » adéquat pour les transferts de données depuis une entité européenne vers des entreprises établies aux États-Unis. Très attendue, cette décision a été prise dans le cadre d’une question préjudicielle posée par la High Court (« Haute Cour », en Irlande) aux juges européens. Une nouvelle fois, l’initiative venait de l’activiste autrichien Max Schrems contre Facebook Ireland au sujet de la portabilité de ses données personnelles sur le territoire américain. Par cette décision baptisée « Schrems II », le bouclier est désormais jugé inadéquat. Mais alors, qu’est-ce qu’il se passe ? On fait le point.
Un bouclier pas assez protecteur
Depuis 2016, le Privacy Shield permettait à 5 226 entreprises de transférer nos données outre-Atlantique, selon le site officiel du gouvernement américain. Son abolition ouvre un trou béant. Cet accord chapeautait en effet un marché évalué à 7 100 milliards de dollars, selon le secrétaire américain du commerce, Wilbur Ross qui a déclaré « regretter profondément » la disparition du Privacy Shield.
Pourquoi l’accord a-t-il été invalidé ? Dans l’arrêt long de 44 pages, les juges européens ont considéré que ce « mécanisme de médiation » ne respectait pas les exigences juridiques établies par le RGPD, entré en vigueur en mai 2018 sur le territoire européen. La CJUE a noté par ailleurs que l’accord ne fournissait pas aux citoyens de voie de recours. En clair, le bouclier n’est pas assez protecteur pour nos données et nous ne pouvons pas nous en défendre en bonne et due forme – au contraire de ce qu’avait affirmé la Commission en février 2016, à la hâte.
70 % des données européennes stockées hors UE
Derrière cette « décision éminemment politique » se cache un « clash » juridique. « Aux États-Unis, les données à caractère personnel sont des biens commerciaux monétisables; alors que dans l’UE elles font partie intégrante de nos libertés fondamentales », nous explique Claude-Étienne Armingaud, avocat associé au cabinet K&L Gates.
L’invalidation du Privacy Shield a provoqué un tollé chez de nombreuses entreprises, notamment dans le secteur du numérique. L’Asic, Syntec Numérique et TECH IN France ont signé un communiqué « inquiet » quant à l’avenir de la portabilité des données. Rappelant « leur attachement à un haut niveau d’exigence », les trois entités de professionnels du numériques demandent « la mise en oeuvre de mesures transitoires […] afin de sécuriser juridiquement l’activité de toutes les entreprises concernées. » Une solution doit être trouvée rapidement puisque « plus de 70% des données européennes sont aujourd’hui stockées dans des clouds non européens », d’après OVHCloud, le leader français de l’hébergement.
Le « grand flou »
Mais concrètement ce que cela change pour nos données ? Justement, difficile de savoir. Pour l’instant, c’est « le grand flou », selon les mots de l’avocat Claude-Étienne Armingaud. Depuis juillet, les entreprises européennes sont contraintes de renégocier des contrats bilatéraux chacune de leur côté avec leurs partenaires américains.
Les citoyens sont encore plus dans le flou. Si on reprend l’exemple de Facebook – à l’origine de l’affaire – le réseau social doit respecter les conditions de portabilité des données de ses usagers européens établies par le RGPD. Pour cela, privé de Privacy Shield, Facebook est dans l’obligation d’établir un contrat spécifique avec le siège basé aux États-Unis. Pour ses utilisateurs, avoir un droit de regard sur le texte semble presque impossible.
Opaque, le marché des transferts de données d’un bord à l’autre de l’Atlantique est donc empreint d’incertitudes. L’UE est en train de s’activer pour trouver une solution. La Commission nationale de l’informatique et des libertés (Cnil) et ses homologues européens, réunis au sein du Comité européen pour la protection des données appelée « la Cnil des Cnils », procèdent actuellement « à l’analyse de cette décision pour en tirer les conséquences dans les meilleurs délais », a déjà indiqué le gendarme français.
Quatre scenarii possibles
Selon l’avocat Claude-Étienne Armingaud, plusieurs scenarii sont envisageables pour assurer la protection de nos données. Première possibilité : re-négocier un troisième accord bilatéral UE-États-Unis tels que Safe Harbor (2000, invalidé en 2015) et le Privacy Shield (2016, invalidé en 2020). Cette option répondrait à l’urgence du calendrier de l’UE, qui est actuellement en pleine élaboration du Digital Services Act.
Deuxième possibilité : rédiger des accords en adéquation avec chaque État fédéral, puisque certains, comme la Californie, sont plus protecteurs que les autres. Mais, cet outil multilatéral amènerait un degré de complexité supplémentaire pas forcément recherché par les acteurs du marché.
Troisième possibilité : mettre en place des « codes de conduite » à suivre pour les entreprises, qui induit une grande responsabilisation de celles-ci pour s’auto-réguler. Ce système est « idéal » selon l’avocat spécialiste car « flexible ». Mais les relations tendues entre plates-formes et institutions européennes laissent croire que cela va être difficile à mettre en place.
Dernière possibilité : le statu quo en s’appuyant sur les contrats bilatéraux déjà en vigueur puisqu’ils ont été validés avec certaines réserves par la CJUE et qu’une mise à jour est prévue avant la fin de cette année.
« Quelle que soit l’option choisie, la priorité doit demeurer d’assainir cet environnement », analyse Claude-Étienne Armingaud, qui ne perd pas espoir. « Il faut être patient, mais on va y arriver ! Les initiatives comme celles de Max Schrems poussent d’un côté à une reprise en main citoyenne et de l’autre, à une responsabilisation des acteurs. Même si l’équilibre est complexe, sa recherche est saine. »
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
