Les Etats-Unis et l'Europe trouvent un accord sur le transfert de données outre-Atlantique

Le Président des Etats-Unis Joe Biden et la Présidente de la Commission européenne Ursula von der Leyen ont annoncé le 25 mars 2022 être parvenus à un accord de principe sur un nouveau cadre pour le transfert de données transatlantique. "Cela permettra d'avoir des flux de données prévisibles et fiables, tout en assurant la sécurité, le droit à la vie privé et la protection des données", déclare Ursula von der Leyen sur Twitter.

L'insécurité juridique
"Nous parvenons à équilibrer la sécurité et les droits à la vie privée et à la protection des données", a assuré Ursula von der Leyen dans son allocution. Les détails concernant cet accord de principe ne sont pas encore précisés. Un nouvel accord entre les Etats-Unis et l'Union européenne était très attendu depuis l'invalidation du Privacy Shield, le précédent accord qui autorisait le transfert des données vers les Etats-Unis, en juillet 2020. Il devrait mettre fin à l'insécurité juridique qui pèse aujourd'hui sur les entreprises.

Dans cet arrêt dit Schrems II, la Cour de justice de l'Union européenne (CJUE) estimait que les programmes de surveillance américains ne sont pas compatibles avec le RGPD et que les citoyens européens n'ont pas de recours effectifs aux Etats-Unis. La CJUE a donc interdit le transfert de données personnelles vers les Etats-Unis.

Pour se tourner malgré tout vers les fournisseurs de cloud américains, et notamment AWS, Microsoft et Google, qui dominent largement le marché, les entreprises européennes mettent en avant les contrats passés avec ces derniers, qui offriraient un niveau de garantie suffisant quant à la protection des données. Mais il n'est pas certain qu'ils résistent à un examen de la CJUE, car l'arrêt Schrems II semble également interdire les clauses contractuelles types, qui sont des modèles de ces contrats de transfert de données personnelles.

L'autre astuce, mise en place plus récemment, consiste en la création de coentreprises entre les fournisseurs de cloud américains et des entreprises françaises comme Microsoft/Orange/Capgemini et Thales/Google. Ces dernières sont encore en cours de gestation.

Des mois avant un accord final
L'accord provisoire offrirait aux entreprises qui gèrent le flux de données personnelles outre-Atlantique des protections juridiques renforcées, en plus des clauses contractuelles qui les protègent déjà, rapporte Reuters, tenu informé par un responsable de l'UE. Cependant, un accord final devrait prendre des mois au bas mot.

Google, par la voix d'un porte-parole, salue "les efforts entrepris par la Commission européenne et le gouvernement américain afin de s'accorder sur un nouveau cadre entre les Etats-Unis et l'Union européenne pour protéger les transferts de données transatlantiques".

Ce nouvel accord de principe sera-t-il validé par la CJUE ? NOYB, l'association de protection de la vie privée fondée par Maximillian Schrems à l'origine de l'invalidation du Privacy Shield, affirme vouloir étudier cet accord dès sa publication afin de vérifier que les données des citoyens européens seront effectivement protégées. En cas de doute, elle entend d'ores et déjà faire un recours.

"Nous avions déjà un accord purement politique en 2015 qui n'avait aucune base légale, a réagi Maximillian Schrems. De ce qu'on entend, nous pourrions jouer au même jeu une troisième fois maintenant. L'accord était apparemment un symbole voulu par Ursula von der Leyen, mais il n'a pas le soutien des experts à Bruxelles car les Etats-Unis n'ont pas bougé." Son billet de blog est consultable ici.

Sélectionné pour vous

A la suite d'un ransomware, la ville de Betton voit ses données publiées

La start-up Stane lève 10 millions d'euros pour digitaliser les établissements de santé

Voici le plan d'action de la Cnil pour encadrer l'intelligence artificielle