Recevez chaque jour toute l'actualité du numérique

x

Le sort des flux de données européennes vers les Etats-Unis est toujours en suspens

Le sort des transferts de données européennes vers les Etats-Unis reste suspendu à un potentiel futur accord entre l'Union européenne et les Etats-Unis. Les entreprises du secteur s'inquiètent de cette situation qui ne devrait pas trouver d'issue dans l'immédiat car la signature d'un texte nécessite que les Etats-Unis revoient leur législation sur la surveillance. Un sujet particulièrement sensible outre-Atlantique.
Twitter Facebook Linkedin Flipboard Email
×

Le sort des flux de données européennes vers les Etats-Unis est toujours en suspens
Le sort des flux de données européennes vers les Etats-Unis est toujours en suspens

L'année 2022 débute de la même façon que l'année 2021 pour les entreprises souhaitant transférer les données personnelles des Européens vers les Etats-Unis : aucun nouvel accord n'a été signé entre Bruxelles et Washington. Une situation de plus en plus critiquée par les acteurs du secteur, relève le Wall Street Journal dans un article publié le 30 décembre.

Une législation non-conforme
Pour rappel, la Cour de justice de l'Union européenne a invalidé le Privacy Shield en juillet 2020 estimant que la législation américaine n'était pas conforme aux exigences du Règlement général sur la protection des données (RGPD). C'est la faculté pour les autorités américaines d'accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur de cloud américain qui était au coeur du litige. 

"C'est inquiétant et cela devient difficile", a rétorqué Martynas Barysas, directeur du marché intérieur au sein de Business Europe, association patronale européenne représentant une quarantaine de fédérations professionnelles. "Nous entamons 2022 sans clarté sur les flux internationaux de données", a-t-il regretté auprès du média américain. 

Meta sommé de ne plus transférer de données vers les Etats-Unis
En effet, la situation actuelle n'est encore pas très claire : dans quelle mesure les entreprises sont autoriser à transférer des données personnelles vers les Etats-Unis dans le cadre de leurs activités directement ou en recourant à des services proposés par des entreprises américaines, comme le cloud computing. Pour la Data Protection Commission (DPC), la réponse est assez claire puisque l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) en Irlande a demandé à Meta (ex-Facebook) de cesser immédiatement de transférer les données utilisateurs européens vers les Etats-Unis. Cette injonction a été suspendue depuis par le dépôt par l'entreprise américaine d'un recours devant la Haute Cour d'Irlande. 

Les décisions se multiplient dans le sens d'un arrêt des transferts de données personnelles vers les Etats-Unis. C'est ainsi que l'Institut statistique du Portugal (INE) a cessé d'utiliser le service proposé par la société américaine Cloudflare à la suite d'une décision rendue par l'autorité portugaise des données personnelles. Cette dernière a estimé que les clauses contractuelles types (un mécanisme alternatif en cas d'absence de décision d'adéquation) étaient insuffisants pour s'assurer de la protection des données personnelles des Portugais.

La justice allemande a demandé de son côté à l'Université des sciences appliquées de Rhin-Main de ne plus utiliser CookieBot, une plateforme de gestion du consentement pour les sites web qui partageait des données avec une entreprise de cloud située aux Etats-Unis. En France, c'est le directeur interministériel du numérique (Dnium), Nadi Bou Hanna, qui a émis une circulaire dans laquelle il a demandé aux ministères de ne plus utilisé l'offre Microsoft 365 (anciennement Office 365). 

La conclusion d'un nouvel accord ne réglera pas tout 
La situation restera bancale tant que les autorités européennes et américaines ne se seront pas mis d'accord sur un nouvel accord. Or, en pratique, cela nécessite que Washington accepte de revoir son arsenal de mesures de surveillance. Un sujet particulièrement sensible qui ne peut pas se régler en quelques mois. A ce sujet, un porte-parole de la Commission européenne promettait que les négociations s'étaient intensifiées au cours des derniers mois. 

Mais la conclusion d'un nouveau Privacy Shield ne réglera pas tous les problèmes actuels, d'après Théodore Christakis, professeur de droit et titulaire de la chaire Legal and Regulatory Implications of Artificial Intelligence au sein de l'Université Grenoble Alpes. Le règlement européen E-evidence pose également de nombreuses questions qui recoupent certaines préoccupations du Privacy Shield, dont la facilitation de l'accès aux preuves électroniques (les emails et documents stockés dans le cloud) pour les utiliser dans le cadre de procédures pénales. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.