Syntec Numérique, Tech In France et l’Alliance française des industries du numérique, trois organisations représentants les entreprises de la Tech hexagonales ont cosigné une lettre ouverte (pdf) publiée le 18 mai pour la mise en place d’un nouveau Privacy Shield. Elle rappelle l’importance du marché du transfert de données.

Les nouvelles mesures de la CEPD préoccupent les entreprises

Le Privacy Shield est un texte adopté en 2016 pour encadrer les transferts de données personnelles entre les États-Unis et les pays de l’Union européenne. Il a été annulé par la Cour de Justice de l’Union européenne le 16 juillet 2020. La cour a estimé qu’il ne pouvait pas garantir un niveau de protection conforme au RGPD. Depuis le transfert de données est permis grâce à des clauses contractuelles types entre entreprises et Blinding Corporate Rules au sein d’un même groupe.

Dans leur lettre, les organisations s’inquiètent surtout de l’arrivée de nouvelles mesures imposées par le Comité européen de Protection des données (CEPD), « Les mesures envisagées par le CEPD complexifieraient les mécanismes usuels de transferts de données, pourtant essentiels pour les entreprises dans la gestion quotidienne de leurs activités », écrivent-elles.

La CEPD souhaite autoriser le stockage de données dans un pays tiers à condition qu’elles soient chiffrées et que les clefs de chiffrement soient détenues par l’entreprise européenne ou une autre structure de confiance du Vieux continent. Des dispositifs qui impliqueraient, pour les auteurs de la lettre, « de lourdes contraintes juridiques et techniques » pour les entreprises françaises.

Les trois organisations professionnelles demandent une approche différenciée, fondée sur l’analyse des risques, ainsi que d’être consultée, pour « concilier défense des valeurs européennes […] et développement numérique des entreprises françaises et européennes ».

Un nouveau Privacy Shield entre les États-Unis et l’Europe semble inenvisageable.

Elles réclament surtout, « un nouvel accord politique permettant le transfert des données personnelles vers les États-Unis ». Les organisations rappellent opportunément que « les échanges [de données] avec des pays situés hors Union européenne et en particulier les États-Unis sont devenus incontournables ». Les chances qu’une version deux du Privacy Shield aboutisse demeurent faibles en l’état actuel des choses. D’un côté les États-Unis ne semblent pas déterminés à mieux protéger les données étrangères de ses services de renseignements, de l’autre, Bruxelles mise, au nom de la souveraineté numérique, sur le rapatriement des données sur son sol.