L’accord Privacy Shield, qui permet aux entreprises du numérique de transférer des données personnelles des européens aux États-Unis, a été annulé le 16 juillet par la Cour de justice européenne (CJUE). 5 300 entreprises pourraient être concernées par cette annulation.

Dès son adoption en 2016, le Privacy Shield était critiqué

Tout commence avec un avocat et militant autrichien pour la vie privée, Max Schrems. Il avait attaqué en 2013 un précédent accord de transfert de données, Safe Harbor devant la CJUE. Selon lui, les révélations du lanceur d’alerte Edward Snowden prouvaient que l’accord n’était pas assez protecteur pour la vie privée des Européens. Les États-Unis et ses agences de renseignements comme la NSA, pouvant exploiter les données personnelles des entreprises du numérique sur leur territoire.

Safe Harbor a été annulé par la CJUE en 2015 et un autre accord avait été mis en place en juillet 2016, Privacy Shield. Le militant autrichien avait immédiatement considéré que le nouvel accord n’était pas davantage à la hauteur. Il a été rejoint par le G29, qui regroupe les différentes autorités de protection de la vie privée en Europe. La CJUE lui a de nouveau donné raison le 16 juillet 2020, arguant que le régime actuel de transferts de données était contraire à la Charte des droits fondamentaux de l’UE et du RGPD, mis en place en 2018.

Pour Max Schrems, « Comme l’UE ne modifiera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent de solides droits à la vie privée pour tous, y compris les étrangers ». Une convergence des réglementations sur le traitement des données des deux côtés de l’Atlantique, appelée par l’UE, ne semble pas être dans les projets immédiats de Donald Trump.

Pour les entreprises du numérique Américaine, comme Facebook, cette décision est particulièrement problématique. Elles s’appuyaient, pour la plupart des 5300 entreprises concernées, sur l’accord pour traiter les données personnelles de leurs usagers et clients européens. Théoriquement elles devront soit assurer la protection des données personnelles contre les programmes de surveillance américains, soit modifier la façon et l’endroit où les données sont traitées.

Le flux de données entre Europe et États-Unis ne devrait pas se tarir brutalement après l’annulation de l’accord

La Cour de justice a toutefois exclu de sa décision plusieurs éléments. Tout d’abord les transferts de données jugées nécessaires : contenu d’un email envoyé aux États-Unis, réservations de vacances, transactions commerciales, accès aux sites d’informations restent autorisés. De même, mais cela pourrait être temporaire, ce qui concerne les transferts sur le cloud. Autre point important, la Cour a validé la légalité d’une mesure de la Commission les clauses contractuelles standard. Cette mesure autorise les entreprises numériques américaines à réaliser des transferts de données, mais en signant des accords les engageant à respecter un haut niveau de protection de la vie privée des Européens.

La Computer & Communication Industry Association, une organisation qui réunit notamment Google, Samsung et Amazon, a salué le choix de maintenir les clauses contractuelles. En revanche, Alexandre Roure, l’un de ses cadres a déclaré que la décision de la CJUE « crée une incertitude juridique pour les milliers de petites et grandes entreprises des deux côtés de l’Atlantique qui comptent sur Privacy Shield pour leurs transferts quotidiens de données commerciales ». L’association appelle à la mise en place d’un accord rapide entre responsables européens et américains pour garantir la poursuite des flux de données.

Le Secrétaire au commerce des États-Unis, Wilbur Ross, a fait savoir sa déception face à la décision de la CJUE. Il a expliqué que « nous resterons en contact étroit avec la Commission européenne et le Conseil européen de protection des données sur cette question et nous espérons pouvoir limiter les conséquences négatives sur la relation économique transatlantique de 7 100 milliards de dollars qui est si vitale pour nos citoyens, entreprises et gouvernements respectifs. Les flux de données sont essentiels non seulement pour les entreprises technologiques, mais aussi pour les entreprises de toutes tailles et de tous les secteurs ».

Les conséquences concrètes pour les flux de données de l’annulation du Privacy Shield restent encore relativement floues. La CJUE a, en tout cas, répondu fermement aux inquiétudes des citoyens européens sur la protection de leurs données personnelles. Si un troisième accord doit être négocié sur cette question entre l’UE et les États-Unis, il devra prendre en compte plus attentivement le RGPD, au risque de se voir, une nouvelle fois, annulé.