Alors que le 16 juillet 2020, la Cour de justice européenne a annulé l’accord Privacy Shield, on peut lire dans Les Échos que les CNIL européennes viennent de formuler leurs recommandations quant à l’exportation de données personnelles à l’étranger. Elles préconisent le chiffrement des données exportées en dehors de l’Union européenne. Un véritable casse-tête pour les entreprises concernées.

Les CNIL européennes préconisent un chiffrement des données

5 300 entreprises sont concernées par cette préconisation des CNIL européennes. Pour bien comprendre de quoi nous parlons ici, il faut remonter en 2013, à l’époque où Max Schrems, un avocat autrichien avait attaqué Safe Harbor, un précédent accord de transfert de données voté par l’Union européenne. Selon lui, les États-Unis et ses agences de renseignements comme la NSA, peuvent exploiter les données personnelles des entreprises du numérique sur leur territoire. Un véritable problème dont l’Union européenne s’est saisie.

Après l’invalidation du Privacy Shiled, le dernier accord en vigueur sur le sujet, les juges européens avaient appelé les CNIL européennes à déterminer des mesures pour faire respecter le fameux règlement général sur la protection des données (RGPD). Leurs travaux viennent d’être rendus publics. La solution préconisée par les instances garantes des libertés sur le web est donc le chiffrement des données exportées à l’étranger. Concrètement, cela signifie qu’une entreprise française ne pourrait pas faire éditer les bulletins de paie de ses employés avec un logiciel hébergé aux États-Unis…

Un véritable casse-tête à venir pour les entreprises

Cela nous laisse imaginer le casse-tête auquel les entreprises concernées pourraient bien être confrontées d’ici quelques semaines. Les préconisations des CNIL européennes sont soumises à consultation jusqu’au 30 novembre. Si cette mesure était acceptée définitivement, le transfert des données serait quasiment impossible. Comme l’explique Théodore Christakis, professeur de droit international des technologies à l’université de Grenoble, sur son blog : « en l’état actuel des choses, il sera quasiment impossible de transférer des données personnelles hors de l’Europe, à moins qu’elles soient si chiffrées ou si pseudonymisées que le destinataire ne pourra pas les lire ».

La Commission européenne s’intéresse également au dossier et examine actuellement la question des contrats types avec les importateurs. Derrière ces recommandations, un enjeu bien plus important se profile : la naissance d’un nouveau traité durable entre l’Europe et les Etats-Unis, qui garantirait aux données personnelles une protection équivalente des deux côtés de l’Atlantique. Notons tout de même que la Cour de justice européenne a validé la légalité des clauses contractuelles standard. Celle-ci autorise les entreprises américaines à réaliser des transferts de données, en signant des accords les engageant à respecter un haut niveau de protection de la vie privée des européens.