LEBIGDATA.FR I.A, Cloud & Cybersécurité
Joe Biden vient enfin de signer le décret exécutif du Privacy Shield 2.0. Découvrez les conséquences de ce nouveau cadre légal sur les transferts de données entre UE et États-Unis, les critiques émises par les défenseurs de la vie privée, et l'impact de cet accord transatlantique pour votre entreprise…
Après plusieurs mois d'attente, Joe Biden, le président des États-Unis, a enfin signé un décret pavant la voie pour l'implémentation du « Privacy Shield 2.0 » visant à protéger les transferts de données entre l'UE et les USA.
Ce nouveau cadre légal a pour but de protéger les entreprises européennes, et de répondre aux exigences de Bruxelles suite à l'invalidation du Privacy Shield à l'été 2020. Avant d'analyser les implications, un retour en arrière s'impose pour bien comprendre la situation…
L'histoire du Privacy Shield
Il existait autrefois un accord transatlantique appelé Safe Harbor, permettant la libre circulation des données entre l'Europe et les États-Unis. Toutefois, la Commission européenne n'était pas satisfaite des termes de cet accord.
Suite à des révélations sur la surveillance de services de renseignement des États-Unis, la Cour de justice de l'Union européenne a décidé d'invalider l'accord Safe Harbor en 2015 par souci de sécurité.
Toutefois, de nombreuses entreprises reposent sur le transfert de données entre UE et États-Unis. Un nouvel accord était donc nécessaire, pour éviter à ces organisations de perdre du temps et de l'argent à trouver des alternatives.
Le Privacy Shield a vu le jour en 2016, mais ce bouclier n'était pas assez solide pour protéger la confidentialité des entreprises européennes. Les différentes autorités de protection des données de l'UE, telles que la CNIL, ont ouvertement critiqué le manque de robustesse de cet accord.
L'Europe a également accusé les Américains de ne pas prendre le sujet au sérieux. Tout particulièrement, l'administration Trump semblait y voir le cadet de ses soucis.
Il a finalement fallu attendre le mois de mars 2022 pour que l'actuel président Joe Biden et la présidente de la Commission européenne, Ursulan von de Leyen, annoncent travailler sur le Privacy Shield 2.0.
Début octobre 2022, Joe Biden a enfin signé le décret « Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities » visant à concrétiser les promesses des États-Unis.
Que contient le décret de Joe Biden ?
Selon le communiqué officiel de la Maison Blanche, ce décret ajoute davantage de garanties aux activités de surveillance des États-Unis. Ces activités seront uniquement menées à des fins de sécurité nationale, en tenant compte de la confidentialité et des libertés civiles de toutes les personnes indépendamment de leur nationalité ou de leur pays de résidence. Elles seront également menées uniquement quand nécessaire pour les agences de renseignements, et de façon proportionnelle aux besoins.
Le décret définit aussi des conditions de prise en charge des informations personnelles collectées par les agences de renseignement, et étend les devoirs des responsables juridiques, de surveillance et de conformité pour s'assurer que les mesures appropriées soient prises pour remédier aux incidents de non-conformité.
La communauté de surveillance des États-Unis devra aussi mettre à jour ses règles et procédures pour refléter les nouvelles garanties définies par le texte.
En outre, un mécanisme sera mis en place pour permettre aux entreprises un examen indépendant en cas d'accusation de collecte de leurs informations personnelles enfreignant la loi.
La Privacy and Civil Liverties Oversight Board se chargera aussi d'examiner les règles de la communauté de surveillance pour s'assurer qu'elles soient cohérentes avec le décret.
En conclusion, le décret indique que ces différentes mesures serviront à restaurer le mécanisme de transfert de données en accord avec la loi de l'Union européenne.
Un mécanisme enfin fonctionnel ? Réactions des entreprises
Les entreprises américaines de la tech semblent enthousiasmées par ce nouveau décret, visant à protéger la relation économique à 7,1 billions de dollars entre les États-Unis et l'UE.
Selon Jason Oxman, président et CEO de l'Information Technology Industry Council, « le mouvement de données à travers les frontières est la fondation du commerce mondial et de l'innovation dans un monde de plus en plus numérisé ».
Il estime que les mesures prises par Joe Biden vont aider à restaurer une sûreté pour les entreprises et préserver la continuité des opérations clés en permettant le mouvement des données à travers l'Atlantique. Elles permettront aussi de défendre les droits fondamentaux des citoyens européens, et la sécurité des États-Unis et de l'UE.
Le CEO dit aussi apprécier l'attention de l'Administration Biden sur ce sujet critique, et espère travailler avec l'Union européenne pour implémenter le Data Privacy Framework entre UE et États-Unis dans les mois à venir.
De son côté, Matt Schrurers, CEO de la Computer and Communications Industry Association, affirme apprécier l'action du président Biden pour maintenir le flux de données entre les États-Unis et l'UE : l'une des « relations commerciales les plus profondes et mutuellement bénéfiques ».
Il estime que cette action va alimenter le commerce sur lequel se basent les deux économies et apporter des bienfaits aux entreprises et aux clients de toutes les tailles nécessitant une clarté légale sur les mécanismes de transfert de données.
Le groupe NYOB dénonce une supercherie
Malgré un chaleureux accueil, ce Privacy Shield 2.0 ne fait pas l'unanimité. Le groupe d'activistes NYOB (none of your business), dédié à la vie privée et fondé par Max Schrems, estime que ce décret exécutif ne répondra pas aux exigences de la loi européenne.
Selon cette organisation, les autorités américaines pourront continuer à mener leurs activités de surveillance grâce à l'ambiguïté du concept de « proportionnalité ».
D'après Max Schrems, « l'Union européenne et les États-Unis semblent s'entendre sur l'utilisation du mot « proportionné », mais pas sur sa signification. À la fin, la définition de la Cour de Justice de l'Union européenne prévaudra et annulera à nouveau toute décision de l'UE. La Commission européenne ferme à nouveau les yeux sur la loi américaine, pour permettre de continuer l'espionnage des Européens ».
Le groupe s'interroge aussi sur la façon dont les plaintes seront prises en charge par une supposée « cour d'appel ». Il note que les plaignants devront s'adresser aux autorités nationales de l'UE, qui s'adresseront par la suite au gouvernement américain.
Toujours selon Schrems : « nous devrons étudier la proposition en détail, mais au premier regard, il est clair que cette soi-disant cour n'en est simplement pas une ». Il précise aussi que les détails de la procédure permettront de vérifier si elle peut respecter la loi de l'UE.
La principale critique émise par NYOB est que le décret de Joe Biden n'oblige pas les entreprises américaines à se conformer au RGPD. Le groupe souligne que les principes sont similaires à ceux du Safe Harbord, rédigés en l'an 2000.
Les entreprises des États-Unis pourront donc continuer à traiter les données européennes sans se conformer au règlement adopté par l'UE en 2018. Par exemple, il n'y aura même pas besoin de base légale comme le consentement pour traiter les données.
La seule contrainte imposée par le Privacy Shield aux entreprises des États-Unis sera d'offrir une option de désinscription aux utilisateurs. Pourtant, la Cour de Justice européenne estime qu'une protection « essentiellement équivalente » est indispensable aux États-Unis…
Quel impact pour les entreprises françaises ? L'AFCDP réagit
Selon Patrick Blum, délégué général de l'AFCDP (Association des professionnel(le)s de la protection des données personnelles), le Privacy Shield 2.0 ne semble pas être une excellente nouvelle pour les entreprises françaises et la confidentialité des consommateurs.
En se basant sur les premières analyses des organisations de défense des droits des citoyens comme NOYB, le BEUC ou encore l'ACLU, il estime que « le décret du Président Biden a peu de chance de changer positivement la situation ».
Certes, le souligne l'expert, « il est probable qu'après avoir demandé l'avis du CEPD/EDPB, qui sera sans doute négatif mais non contraignant, la Commission européenne prendra, courant 2023, une décision d'adéquation pour les États-Unis, ce qui permettra aux entreprises de se sentir à nouveau en sécurité juridique pour les transferts de données ».
Toutefois, « cette décision d'adéquation sera probablement de nouveau attaquée devant la Cour de justice européenne qui l'invalidera sans doute pour les mêmes raisons que pour les deux précédents accords ». Le spécialiste prévoit ainsi « un retour à la case départ dans quelques mois ».
Concernant les critiques de Max Schrems, Patrick Blum souligne que l'analyse de NOYB avance plusieurs arguments pouvant convaincre la CJUE : « sont d'abord mis en cause les termes « nécessaire et proportionné » censés s'accorder avec les formulations du RGPD, mais qui semblent ne pas correspondre au même esprit outre-atlantique et permettre de continuer à exercer une surveillance de masse sur les citoyens non américains ».
Il rappelle d'ailleurs que « alors que l'Union européenne considère la protection de la vie privée comme un droit humain, le quatrième amendement américain ne s'applique qu'aux citoyens américains, et ne protège pas les ressortissants européens ».
En outre, pour traiter les litiges « le décret annonce la création d'une « cour » censée contrôler la protection des données. Mais il ne s'agit pas d'une cour au sens habituel ; il s'agit d'un organe dépendant du gouvernement, et qui ne constitue qu'une mise à jour du précédent système de médiateur qui ne répond pas aux exigences européennes d'une cour de justice ».
En conclusion, « sur le principe, l'association de Max Schrems reproche à la Commission de ne pas exiger que les « principes du Privacy Shield » repris dans le nouveau cadre soient alignés sur le RGPD. Par exemple, les entreprises américaines peuvent traiter des données sans respecter l'une des bases légales du RGPD. Il ne leur est demandé qu'un exigence : prévoir une option d'opt-out. On est donc loin d'un cadre légal « essentiellement équivalent » au cadre européen comme l'exige le RGPD ».
Quel futur pour le Privacy Shield 2.0 ?
Même si la signature du décret par Joe Biden a une importance symbolique, elle est loin de résoudre les problématiques liées à la confidentialité. La Commission européenne doit maintenant produire sa propre décision, la transmettre au Comité Européen de la Protection des Données (EDPB) et la soumettre à un vote des États membres de l'UE.
Ces derniers pourraient choisir de rejeter le projet. Dans le cas contraire, si l'accord est accepté par toutes les parties prenantes, le Privacy Shield 2.0 sera adopté dans le courant du printemps 2023…
- Partager l'article :
