Les représentants des entreprises françaises du numérique plaident pour un nouveau Privacy Shield

L'insécurité juridique provoquée par l'invalidation du Privacy Shield doit cesser, lancent dans une lettre ouverte le Syntec Numérique, Tech In France et l'Alliance française des industries du numérique (Afnum).

Des transferts incontournables
Ces représentants des entreprises françaises du numérique estiment qu'il est devenu indispensable "d'assurer la continuité des transferts hors Union européenne". Car ces transferts, notamment ceux vers les Etats-Unis, sont devenus "incontournables" dans "un contexte de plus en plus digitalisé et mondialisé".

Dans leur lettre, ils citent une étude de l'Organisation de coopération et de développement économiques (OCDE) publiée en août 2020 qui estime que les transferts de données contribuent à hauteur de 2800 milliards de dollars au PIB mondial. Cette part devrait atteindre 11 000 milliards de dollars d'ici 2025. Cette valeur est partagée par les secteurs traditionnels tels que l'agriculture, la logistique et les industries manufacturières, qui réalisent 75% de la valeur des transferts de données.

Une approche fondée sur les risques
Pour sécuriser ces transferts, le Syntec Numérique, Tech In France et l'Afnum appellent à privilégier "une approche différenciée et fondée sur l'analyse des risques" conforme au Règlement général sur la protection des données (RGPD), à définir "des mesures tenant compte des réalités économiques pour le transfert de données" et finaliser "rapidement un nouvel accord" entre l'Union européenne et les Etats-Unis.

Pour rappel, la Cour de justice de l'Union européenne a invalidé le Privacy Shield en juillet 2020 estimant que la législation américaine n'était pas conforme aux exigences du RGPD. C'est la faculté pour les autorités américaines d'accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur de cloud américain qui est au coeur du litige.

Les clauses contractuelles types, un mécanisme parfois risqué
L'alternative au Privacy Shield est la conclusion de clauses contractuelles types entre les deux entreprises souhaitant transférer des données. Ces modèles de contrats de transfert sont adoptés par la Commission européenne pour faciliter la tâche des responsables de traitement.

C'est l'exportateur de données, c'est-à-dire les entreprises françaises, qui est endossera la responsabilité vis-à-vis des personnes concernées en cas de violation des règles applicables en matière de protection des données. A noter qu'il pourra se retourner contre l'importateur de données en cas de manquement commis par ce dernier.

Le Comité européen de la protection des données (CEPD) a émis une série de recommandations pour sécuriser les flux de données outre-Atlantique. Il exigeait que des garanties techniques soient prises. Ainsi, est considéré comme autorisé le stockage de données dans un pays tiers où il n'y a pas d'accès aux données cryptées et où les clés de chiffrement sont détenues par l'exportateur des données ou par une entité de confiance au sein de l'UE.

Des contraintes trop lourdes pour les entreprises françaises
Or, ces exigences supplémentaires impliquent de "lourdes contraintes juridiques et techniques (analyse des lois locales et chiffrement systématique des données) qui ne tiennent absolument pas compte des réalités économiques", expliquent les trois organisations dans leur lettre. La seule solution reste donc l'adoption d'un nouveau Privacy Shield qui semble pour l'instant impossible car Bruxelles attend de Washington une modification profonde de l'arsenal juridique sur la surveillance.

Sélectionné pour vous

CES 2024 : "La technologie reste très forte malgré la crise", d'après Gary Shapiro

Pitchy, Plan A, Lepaya… Les levées de fonds de la French Tech cette semaine

Epoca lève 10 millions d'euros pour sa plateforme de télésurveillance dédiée aux personnes âgées