15.NOUVEAU.PRIVACY.SHIELD

Nouveau Privacy Shield : réponse providentielle ou naufrage prévisible pour les flux de données outre-Atlantique ?

Depuis l’invalidation du « Privacy Shield », les transferts de données à caractère personnel vers les États-Unis sont devenus illicites s’ils n’offrent pas des garanties supplémentaires pour assurer la protection des droits et libertés des citoyens européens. L’annonce d’un nouvel accord de transfert de données outre-Atlantique serait-il de nature à rebattre les cartes ?

Dans un tweet publié le 25 mars¹, la présidente de la Commission européenne, Ursula von der Leyen, a annoncé que l’Union européenne et les États-Unis ont trouvé un accord de principe sur la mise en place d’un nouvel accord encadrant les transferts de données transatlantiques. Ce nouvel accord « permettra des flux de données prévisibles et dignes de confiance, équilibrant la sécurité, le droit à la vie privée et la protection des données » a précisé la présidente.

Cette déclaration inattendue a immédiatement trouvé écho auprès des professionnels de la protection des données et n’a pas manqué d’être relayée par les médias spécialisés dans l’information liée aux nouvelles technologies. En effet, depuis l’arrêt de la CJUE dit « Schrems II² », entraînant l’invalidation du « Privacy Shield », nombreuses sont les entreprises européennes et américaines à être exposées à une forte insécurité juridique.

Pour rappel, la Cour de justice de l’Union européenne (CJUE) avait estimé que la législation américaine en matière d’accès aux données n’était pas compatible avec les exigences de la Charte des Droits Fondamentaux, assurant la protection de la vie privée et des données à caractère personnel dans ses articles 7 et 8³, et in fine ceux du Règlement Général sur la Protection des Données4

. En particulier, Il a été relevé que toutes les données traitées par les entreprises et opérateurs américains peuvent être collectées par les services de renseignement américains, sans limite aucune, ni possibilité pour les personnes concernées de faire valoir leurs droits auprès des instances américaines de manière satisfaisante au regard des standards européens.

L’annonce d’un nouvel accord entre l’Union européenne et les États-Unis a provoqué des réactions mitigées5 .

Ainsi, plusieurs sociétés ont accueilli la nouvelle avec réjouissance, tant le recours aux outils américains est en situation de quasi-monopole. À ce titre, Google a énoncé dans un communiqué de presse6  : « Nous saluons les efforts entrepris par la Commission européenne et le gouvernement américain afin de s’accorder sur un nouveau cadre US-UE et protéger les transferts de données transatlantiques ». La position de Google n’est guère étonnante compte-tenu de la mise en demeure récemment prononcée par la CNIL à l’encontre d’un gestionnaire de site Internet utilisant Google Analytics7 , où les transferts illicites de données vers les États-Unis étaient dénoncés par l’autorité de contrôle.

À l’inverse, Max Schrems, président honoraire de NOYB (None Of Your Business) et principal plaideur des affaires « Schrems I et II », se montre sceptique. Il déclare notamment « Il est regrettable que l’UE et les États-Unis n’aient pas profité de cette situation pour parvenir à un accord de ” non-espionnage “, avec des garanties de base entre démocraties partageant les mêmes idées. Les clients et les entreprises sont confrontés à de nouvelles années d’incertitude juridique ». L’activiste affirme en particulier que le texte ne serait qu’un acte symbolique voulu par Mme Von der Leyen, et qu’il ne bénéficierait d’aucun soutien de la part des experts à Bruxelles. Max Schrems précise par ailleurs que le texte final sera analysé en profondeur par ses équipes et qu’il n’hésitera pas à porter l’affaire devant la Cour de justice de l’Union européenne une troisième fois si celui-ci n’est pas conforme au droit européen. Le ton est donné.

Ce nouvel accord de transfert des données transatlantique tirera-t-il compte des enseignements apportés par l’arrêt « Schrems II » de la CJUE ? Pour l’heure, il est impossible de se prononcer, le nouvel accord promis ne semble en effet être qu’au stade embryonnaire. Les juristes européens et américains doivent encore s’accorder sur les remèdes à adopter pour surmonter les problématiques soulevées par la Cour de justice.

Dans un communiqué de presse8 , la Commission européenne a partagé certains points clés du nouvel accord envisagé. De nouvelles règles renforceront la protection de la vie privée et les libertés des citoyens européens, en proposant des garanties visant à assurer que les renseignements américains limitent l’accès aux données à ce qui est nécessaire et proportionné pour la sécurité nationale. Un mécanisme de recours indépendant à deux niveaux sera également prévu pour recevoir et traiter les plaintes, permettant de porter en justice effectivement les plaintes des européens. Enfin, un contrôle rigoureux et hiérarchisé des activités de renseignement devrait permettre de s’assurer du respect des normes en matière de protection des données à caractère personnel.

Toutefois, aucun texte officiel n’a encore été présenté. Il convient donc de rester vigilant. dans l’attente de ce nouvel accord qui devra démontrer qu’il répond aux carences mises en exergue par l’arrêt Schrems II de la CJUE.

La meilleure stratégie à adopter repose donc toujours sur la prudence et l’évaluation des outils européens en lieu en place de ceux proposés par les entreprises américaines. Il est en effet à craindre que plusieurs semaines ou mois demeurent nécessaires avant d’aboutir à un accord définitif et tangible.


Pour en savoir plus :

  1. Tweet de Ursula von der Leyen publié le 25 mars 2022.
  2. Communiqué de presse de la Cour de justice de l’Union Européenne invalidant la décision d’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, CJUE, 16 juillet 2020.
  3. Journal officiel des Communautés européenne : Charte des Droits Fondamentaux de l’Union Européenne, 2000/C 364/01, 18 décembre 2000.
  4. Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.
  5. Article de Francesco Guarascio et Foo Yun Chee, EU-U.S. data transfer deal cheers business, but worries privacy activists, Reuters, 25 mars 2022.
  6. Article de Gilbert Kallenborn avec l’AFP: Données personnelles : les Etats-Unis et l’Europe se sont mis d’accord sur un nouveau « Privacy Shield », 01net, 25 mars 2022.

Publication de Jedidiah Bracy : EU, US agree « in principle » to new trans-Atlantic data agreement, International Association of Privacy Professionals (IAPP), 25 mars 2022.

  1. Utilisation de Google Analytcis et transfert de données vers les Etats-Unis, la CNIL met en demeure un gestionnaire de site web, 10 février 2022.
  2. Communiqué de presse de la Commission européenne : European Commission and United.

Par DPM | News, Protection des donnéesSécurité | Commentaires fermés

Autres articles