C’est une situation rarissime. La Commission européenne est traînée en justice par un citoyen allemand, représenté par l’association Europäische Gesellschaft für Datenschutz. Il accuse l’institution d’avoir violé le RGPD en utilisant Amazon Web Services.

La Commission européenne transfère des données vers les États-Unis

Un recours a donc été déposé devant le tribunal de l’Union européenne. La plainte va être instruite et devrait se prononcer dans un délai entre 12 et 18 mois. Un citoyen allemand reproche à la Commission européenne d’avoir attribué l’hébergement d’un site à Amazon Web Services. Selon lui, il s’agirait d’une violation du Règlement général sur la protection des données (RGPD). Une réglementation pourtant défendue bec et ongles par la Commission européenne. Un second dossier a été déposé devant le Contrôleur européen de la protection des données (CEPD).

La Commission européenne est-elle en tort ? En confiant la gestion du site web de la Conférence sur l’avenir de l’Europe à Amazon Web Services, la Commission semble effectivement être en faute. En effet, cette plateforme qui a pour objectif de donner la parole aux citoyens européens à travers une grande consultation publique pour qu’ils puissent exprimer leurs attentes envers l’Union européenne en matière d’approfondissement de la démocratie, de transition énergétique et numérique, transfère des données vers les États-Unis.

Un accord pour remplacer le Privacy Shield dans les prochains mois ?

Tout le problème est là : au moment de l’inscription, les données personnelles fournies peuvent effectivement être transférées vers le continent américain, là où se trouve le siège social d’Amazon. Selon Thomas Bindl, fondateur de l’association Europäische Gesellschaft für Datenschutz, « si un restaurant ou une boulangerie doit trouver un moyen de se conformer à l’interdiction des transferts de données vers les Etats-Unis, la Commission européenne doit en faire autant car il ne peut y avoir deux poids deux mesures ». Une référence directe à l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne en juillet 2020.

Concrètement, la Commission européenne fait ce qu’elle demande aux entreprises européennes de ne pas faire. Un accord de principe pour le successeur du Privacy Shield a portant été trouvé. En mars 2022, le président Joe Biden a fait un pas vers l’Union européenne en tentant de régler ce vieux litige entre les deux continents. L’objectif de ce nouvel accord sera d’empêcher les autorités américaines d’accéder aux données des citoyens européens, même si celles-ci sont hébergées par un fournisseur cloud américain comme AWS.