Le 7 octobre, le président américain Biden a signé un "décret" - une sorte de loi - qui pourrait marquer le début d'un nouvel accord sur la vie privée entre l'UE et les États-Unis. Pourquoi est-ce important ? Nous l'avons demandé à Peter Vergote, notre expert en droit.
En quoi consiste cette loi américaine ? Pouvez-vous l'expliquer de manière simple ?
Il s'agit, entre autres, des transferts de données qui ont lieu entre l'Union européenne et les États-Unis et du régime de protection des données personnelles qui y sont stockées. En tant qu'utilisateur de différents services ou sites web, comme Facebook ou Google par exemple, vous acceptez leurs conditions d'utilisation. Dans ce cas, vos données personnelles peuvent être transférées vers des serveurs américains et y être stockées. Cela peut même se produire à votre insu. Il doit donc y avoir une "protection adéquate" des données personnelles des citoyens européens, dans les pays où vont ces données. Le RGPD a considérablement renforcé les règles en la matière.
Qu'est-ce que cela signifie ? Une "protection adéquate" des données à caractère personnel ?
En bref, dans un pays vers lequel des données personnelles sont envoyées, il doit exister une protection similaire pour ces données qu'au sein de l'Union européenne. Et ici, bien sûr, une protection assez étendue de la vie privée existe depuis le début de le RGPD.
Qu'est-ce qui a poussé le président Biden à signer ce décret ?
Après l'arrêt Schrems II* (voir ci-dessous/ici), le "Privacy Shield" était en lambeaux et l'UE et les États-Unis ont dû renégocier un cadre concernant la protection de la vie privée. Ce faisant, ils ont cherché un accord entre les deux blocs qui permettrait des transferts de données compatibles avec le RGPD. Il a fallu deux ans de négociations, mais ils sont finalement parvenus à un accord au début de cette année 2022 et ce décret constitue la mise en œuvre de cet accord aux États-Unis.
*Schrems I et II sont des décisions de la Cour de justice européenne qui font suite à des actions en justice entamées par Maximilian Schrems, un "militant de la vie privée" autrichien. Plus d'explications plus loin.
En quoi cet accord améliore-t-il la situation ?
Il comprend des garanties selon lesquelles les agences de sécurité nationale américaines ne pourront pas accéder aux données des citoyens européens. Si l'accès était ensuite demandé, un citoyen européen ordinaire pourrait s'y opposer. Dans ce cas, un comité déciderait si la demande est suffisamment justifiée. Les services de sécurité ne pourraient également demander que les données d'un groupe particulier de personnes. (ndlr : les personnes suspectées dans une affaire particulière). Ce qui n'existait pas avant existe maintenant : Les services de sécurité américains ont moins de droits pour consulter les données des citoyens européens.
Pensez-vous que cet accord va durer ?
Il est très difficile de le prédire. Tout d'abord, ce décret (et l'arrangement sous-jacent pour les transferts de données entre l'UE et les États-Unis) doit encore obtenir la bénédiction de la Commission européenne. Ce n'est qu'à ce moment-là que l'on pourra parler d'un nouvel arrangement définitif en matière de protection de la vie privée entre les deux blocs. Nous pouvons également supposer que dès qu'il y aura une "décision d'adéquation", une nouvelle procédure devant la Cour européenne de justice sera immédiatement engagée par Schems et co.
Ce que pourrait contenir exactement un arrêt Schrems III relève de la conjecture. Malgré la proportionnalité du nouveau régime, les agences de sécurité nationale américaines peuvent toujours accéder aux données des ressortissants de l'UE si vous interprétez les textes littéralement. Si telle est la principale conclusion, tout arrêt Schrems III est susceptible de considérer une fois de plus le mécanisme existant comme inadéquat. D'un autre côté, si la restriction d'accès et les divers moyens de défense dont disposent les citoyens de l'UE sont suffisants pour parler d'une "protection équivalente à celle de l'UE", la Cour européenne pourrait encore décider qu'elle est suffisamment sûre et répond aux exigences du RGPD.
"L'agitation autour des transferts de données frappe en plein cœur les relations économiques entre les entreprises européennes et américaines. Le flou doit être éclairci pour que nous sachions enfin quels services nous sommes encore autorisés à utiliser et si le transfert de données est acceptable."
Devons-nous tout de même nous détourner des services américains ?
En bref, si des alternatives solides et sûres existent, mieux vaut les utiliser. Si un autre arrêt dévastateur Schrems III arrive beaucoup plus tôt que prévu, nous nous retrouverons dans la même situation qu'aujourd'hui. À première vue, des services comme Google Analytics ou Office 365 ne semblent pas si faciles à remplacer. Mais une application comme Mailchimp, par exemple, pourrait être plus facile à remplacer, il existe des alternatives européennes pour cela comme Flexmail. N'y a-t-il pas d'alternative ou le service similaire n'est-il pas génial ? Vous devez alors évaluer s'il est plus important de conserver le service ou d'avoir une certitude quant à la situation juridique. Pour ce faire, il est préférable de tenir compte également des décisions des autorités européennes de protection des données, telles que la GBA pour la Belgique.
Bien sûr, la question de savoir si nos données sont suffisamment protégées par les entreprises américaines vient de quelqu'un - comment cette discussion a-t-elle commencé en premier lieu ?
En 2011, Maximilian Schrems, citoyen autrichien et étudiant en droit, a décidé que ses données n'étaient pas suffisamment protégées aux États-Unis. Schrems était particulièrement furieux contre Facebook. Le géant américain des médias sociaux avait envoyé ses données aux États-Unis via l'Irlande. Schrems a alors lancé plusieurs actions en justice, principalement en Irlande. Lorsque la Commission irlandaise de protection des données a rejeté ses demandes, il s'est adressé à la Cour européenne de justice. En 2015, cette Cour lui a donné raison et l'arrêt Schrems I a été rendu. Cela a marqué la fin des "Safe Harbor Principles", en vertu desquels l'UE et les États-Unis s'engageaient dans des transferts transatlantiques de données.
Quelles ont été les conséquences de l'arrêt Schrems I ?
Il a provoqué toute une série de problèmes entre l'UE et les États-Unis en termes de transferts de données. La menace d'une interdiction des transferts transatlantiques de données personnelles pesait sur les deux parties, qui ont donc cherché activement un successeur au défunt "Safe Harbor". Le "Privacy Shield" semblait être une solution et garantissait des protections supplémentaires dans les transferts de données. Comme alternative au "Privacy Shield", les "Clauses contractuelles types" (CCS) développées par la Commission européenne pourraient également être utilisées. Ces CCS sont des accords individuels par lesquels l'entreprise X qui obtient des données d'entreprises basées aux États-Unis confirme qu'elle utilisera ces données d'une manière conforme au droit européen.
En 2016, la Commission européenne a confirmé la "protection adéquate" des citoyens européens dans le cadre du régime du Privacy Shield. Et pourtant, Maximilian Schrems poursuivit sa croisade.
"Certaines des conséquences possibles de ces décisions pourraient nous faire reculer de 10 ans dans le temps".
Quelle suite a été donnée à Schrems I ?
Aux États-Unis, tout service de sécurité peut facilement récupérer les données des internautes, et donc aussi celles des citoyens européens stockées sur des serveurs aux États-Unis. Dans notre pays, cela fonctionne différemment. Nos services de sécurité ne peuvent demander des données que de manière proportionnée, par exemple dans le cadre d'une enquête judiciaire particulière. Par exemple, si la police enquête sur des trafiquants de drogue, elle peut demander les données de certaines personnes qui sont suspectées dans cette enquête particulière. Ce n'est pas le cas aux États-Unis ; en théorie, la sécurité d'État américaine pourrait demander toutes les données de tous les Européens sur Facebook sans avoir à donner de raison spécifique. Pour Schrems, c'était inacceptable.
Il a de nouveau entamé une procédure devant la Cour de justice européenne, qui lui a donné raison une fois de plus avec l'arrêt "Schrems II". Cet arrêt annule le "Privacy Shield" entre l'UE et les États-Unis. La raison ? Le large accès aux données personnelles par les agences de sécurité américaines n'est pas conforme aux principes du RGPD. À proprement parler, tout transfert de données entre l'UE et les États-Unis est donc (à nouveau) illégal à ce moment-là.
Quelles sont les implications pour les entreprises américaines ?
Les implications sont d'une portée considérable. Par exemple, Meta est obligée de partager des données si on lui demande de le faire. Il n'y a que deux façons pour Meta de se conformer aux règles. Soit elle cesse tout simplement d'offrir des services aux citoyens européens, soit elle se scinde en deux sociétés différentes, une américaine et une européenne. La société européenne serait alors en mesure d'offrir des services aux citoyens européens. Mais cela suppose alors que Meta se sépare entièrement de ses opérations européennes (tant qu'elles sont toujours liées à la société mère, tout reste sous l'application du droit américain). Le service de messagerie américain Mailchimp a lui-même admis qu'il stockait les données personnelles des Européens aux États-Unis. Si vous poursuivez dans cette voie, les services de cloud computing comme Office 365 pourraient également être illégaux. Cela devient un peu punitif alors. Pour l'utilisation de Google Analytics, cependant, il existe déjà des décisions officielles de quelque quatre autorités de protection des données (DPA). Elles ont statué que l'utilisation de Google Analytics est incompatible avec le RGPD.
"Nous sommes donc coincés depuis quelques années dans une solide incertitude quant à ce qui est autorisé ou non. Il n'en demeure pas moins que l'UE et les États-Unis peuvent travailler ensemble."
La Commission européenne doit maintenant examiner cette nouvelle loi. Elle jugera si elle assure ou non une "protection adéquate" des données européennes. Dans le jargon, cela s'appelle une "décision d'adéquation". Nous espérons que cela se produira dans les six mois environ. Cela nous replacerait dans un environnement juridiquement sûr pendant un certain temps, les entreprises pourraient à nouveau faire des échanges des données transatlantiques légalement.
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.