Accord surprise sur le transfert des données personnelles entre l’Europe et les Etats-Unis
All the versions of this article: [English] [français]
Les Echos | 25 mars 2022
Accord surprise sur le transfert des données personnelles entre l’Europe et les Etats-Unis
Par Florian Dèbes
Les réunions de chefs d’Etats mobilisés sur le dossier ukrainien ne sont pas uniquement l’occasion de discuter des conditions autour d’un cessez-le-feu à l’est de l’Europe. Lors d’une déclaration commune consacrée au renforcement du partenariat entre les Etats-Unis et l’Europe, le président américain, Joe Biden, et la présidente de la Commission européenne, Ursula von der Leyen, ont annoncé être parvenus à un accord sur un nouveau cadre pour le transfert des données personnelles entre les deux puissances économiques.
Mais les deux dirigeants n’ont pas donné plus de détails après plus d’un an et demi de négociations. D’après Politico, qui avait eu vent de l’intensification récente des discussions, les détails techniques pourraient être officialisés dans les prochaines semaines. « Cet accord permettra des transferts prédictibles et en confiance de données entre l’UE et les Etats-Unis », a simplement assuré Ursula von der Leyen. Après le Safe Harbor et le Privacy Shield, annulés respectivement en 2015 et 2020, les deux exécutifs doivent encore convaincre que ce texte respectera les standards européens de protection des données.
Une nouvelle base légale
S’il n’est pas contesté comme ses prédécesseurs, cet accord pourrait mettre fin à près de deux ans d’insécurité juridique pour les multinationales des deux continents, et notamment Google, Facebook et Microsoft. La date du 16 juillet 2020, l’invalidation du Privacy Shield via un arrêt de la Cour de Justice de l’Union européenne baptisé « Schrems II », est restée dans les mémoires. Les entreprises n’avaient alors plus de base légale pour exporter vers les Etats-Unis des données personnelles relatives à des consommateurs européens, ces données sur la vie privée que Bruxelles entend particulièrement protéger.
Les CNIL européennes formulent leurs recommandations pour transférer des données personnelles en dehors de l’UE
Dans leur arrêt, les juges suprêmes européens justifiaient l’invalidation du Privacy Shield en expliquant que la surveillance opérée par les agences de renseignement américaines aux Etats-Unis était insuffisamment encadrée pour être conforme aux exigences du règlement européen sur la protection des données. Selon eux, il était dès lors impossible d’exposer des données personnelles européennes aux Etats-Unis. Depuis, les négociations s’éternisaient entre Européens et Américains.
Les régulateurs à l’affût
En l’absence de cadre clair, aucune sanction n’avait encore été prononcée mais les régulateurs européens se penchaient de plus en plus sur la question. L’ONG None of Your Business de l’activiste autrichien Max Shrems à l’origine de l’invalidation du Privacy Shields avait déposé 101 plaintes dans toute l’Union européenne jugeant illégale l’utilisation de Google Analytics ou de Facebook Connect. En février dernier, la CNIL française avait commencé à lui donner raison en enjoignant Auchan d’arrêter d’utiliser Google Analytics pour l’analyse du trafic Web sur son site Internet.
En mai 2021, la CNIL avait aussi appelé les établissements d’enseignement supérieur français à trouver des alternatives aux logiciels collaboratifs de Microsoft ou Google. De son côté, le régulateur irlandais en charge de contrôler Facebook, Instagram et WhatsApp devait statuer dans les semaines à venir sur la sanction à appliquer à leur maison mère Meta pour avoir continué les transferts de données personnelles européennes vers les Etats-Unis. Pour tenter d’infléchir la décision, Meta, en février dernier, n’avait rien de moins que menacé de fermer Instagram en Europe.
Nouveau risque d’invalidation
Après l’annonce des chefs d’Etats, les réactions sont mitigées. « Les professionnels de la vie privée dans le monde peuvent finalement respirer », se réjouit Caitlin Fennessy, la représentante de l’IAPP, l’association internationale des juristes et des informaticiens spécialisés sur le sujet. Plus sceptique, l’ONG None of Your Business se désole qu’il ne s’agit que d’un accord politique, et non d’un texte définitif. « Il est regrettable que les Etats-Unis et l’Europe n’aient pas profité de la situation pour parvenir à un accord de non-espionnage, avec des garanties de base entre démocraties partageant les mêmes idées », a fustigé Max Schrems dans un communiqué.
L’activiste indique qu’il se tient déjà prêt à contester en justice tout accord qui ne respecterait pas à ses yeux le RGPD. La possibilité est loin d’être nulle tant l’affaire paraît a priori insoluble. En privé, à la CNIL, on doutait beaucoup ces derniers mois sur la légalité d’un nouvel accord en l’absence d’évolution du droit américain.
L’idée de la création d’une agence spécialisée sur les saisies de données européennes au sein du ministère américain de la Justice a bien été évoquée mais elle ne convainc pas grand monde. Au contraire, la Cour suprême américaine vient de conforter les lois américaines sur le renseignement dans une décision rendue début mars.
