Suite à un arrêt rendu par la Cour de justice de l’Union Européenne le 16 juillet 2020, le Privacy Shield, un régime de transferts de données entre l’UE et les États-Unis, a été invalidé. Adopté en 2016, cette invalidation a été un véritable coup d’éclat tant du côté européen que du côté américain. En quelques mots, qu’est-ce que le Privacy Shield ? Quelles sont les conséquences de son invalidation pour votre entreprise ?
Qu’est-ce que l’accord “Privacy Shield” ?
Le Privacy Shield, appelé en français “Bouclier de Protection des données” se référait au mécanisme ayant remplacé en 2016 le “Safe Harbor”, un ensemble de principes concernant la privauté des transferts de données vers les États-Unis. L’accord “Privacy Shield” permettait en effet d’assurer le respect des normes européennes concernant la protection des données personnelles, lors de leur transfert vers des entreprises établies aux États-Unis (Ex. : Facebook, Twitter…), etc. donc, la RGPD. Grâce à cet accord, les citoyens de l’Union Européenne étaient dans la possibilité de poursuivre en justice toute entreprise américaine ayant commis des infractions relatives à la protection des données.
Signé par le président Barack Obama, le Privacy Shield a été adopté en février 2016, et a remplacé le Safe Harbor. Toutefois, au cours du mois de juillet 2020, l’accord Privacy Shield a été invalidé par la CJUE, ayant été saisi dans l’affaire Max Shrems II, faisant suite à une plainte déposée par l’Autrichien contre Facebook (une des entreprises accusées) pour avoir collaboré avec les services secrets américains en partageant les données personnelles de certains de ses utilisateurs. Si la CJUE a pris cette décision, c’est principalement parce qu’elle estime que les programmes de surveillance américains sont incapables de garantir la protection de ces données privées, mais aussi parce que les recours légaux pour les individus qui estiment être victimes de violation de leur droit à la protection des données sont insuffisants. Le Privacy Shield et ses précédents ne respectent donc pas la protection des données imposée par la RGPD (Réglementation Générale sur la Protection des Données).
En effet, la législation américaine en matière de protection des données privées est loin d’être aussi encadrée que la RGPD. Entre le Patriot Act en 2001, le Freedom Act en 2015 et le CLOUD Act en 2018, la législation américaine permet aux agences de renseignements de l’État de récupérer et stocker les métadonnées des entreprises nationales et étrangères basées sur le sol américain, un véritable frein pour les instances européennes, loin de cautionner ces pratiques.
L’invalidation du Privacy Shield
Pour les entreprises situées sur le territoire français -dans l’UE-, le transfert de données personnelles est libre s’il est fait dans les pays suivants :
- Andorre
- Argentine
- Canada
- Guernesey
- Îles Féroé
- Île de Man
- Japon
- Jersey
- Nouvelle Zélande
- Suisse
- Uruguay
Concernant le transfert vers les États-Unis, il était autorisé jusqu’en 2015 par l’accord “Safe Harbor” puis par l’accord “Privacy Shield”, qui ont été invalidés par la CJUE en juillet 2020.
Suite à l’invalidation du Privacy Shield et à l’incompatibilité des outils de surveillance américains avec les exigences de la RGPD, les entreprises françaises ont tout intérêt à trouver une alternative afin de pouvoir continuer à échanger leurs datas avec leurs homologues américains. Dans tous les cas, les clauses contractuelles du Privacy Shield n’ont pas été abrogées, car elles ont été jugées conformes au règlement de l’UE.
Quels sont les risques encourus à stocker des données sur des serveurs américains ?
Au-delà d’une simple question de protection personnelle, le stockage de données sur des serveurs américains induit une mise en danger de la démocratie et un risque d’espionnage économique.
La signature du “Cloud Act”, une législation adoptée en 2018 par les États-Unis, permet aux autorités américaines de réclamer les données personnelles récoltées par les entreprises dont le serveur est basé aux USA : c’est là la base de la problématique. Acronyme de “Clarifying Lawful Overseas Use of Data Act”, comprenez par là “Acte de clarification légale de l’utilisation des données à l’étranger”, le Cloud Act représente un nouveau levier d’exploitation des données personnelles par le gouvernement américain.
Les entreprises ayant leurs serveurs basés aux États-Unis ont tout intérêt à revenir sur une structuration plus “locale” et à rapatrier leurs entrepôts de données. Bien évidemment, les flux de données entre l’UE et les USA ne vont pas prendre fin du jour au lendemain. Même si la Cour devrait laisser un délai aux entreprises européennes -et françaises- pour prendre de nouvelles dispositions afin de respecter la RGPD, l’invalidation du Privacy Shield risque de compliquer les transferts de données personnelles des entreprises françaises sur des serveurs américains.
Conséquences
Alors que le Privacy Shield permettait à près de 500 000 entreprises américaines d’échanger des données avec l’Europe, quelles sont les conséquences de l’invalidation de cet accord ? Face à l’invalidation du Privacy Shield, la CJUE a réaffirmé la validité d’un autre mécanisme juridique de transfert de données en attendant la clarification de la situation : les SCC (Standard Contractual Clauses). Ces “clauses contractuelles types” permettent aux entreprises européennes de partager, en toute légalité, les données récoltées avec les USA.
La mise en place des SCC fait suite à l’obligation que vont avoir les responsables américains et de l’Union Européenne de négocier une nouvelle version du Privacy Shield afin d’obtenir un accord équitable permettant de renforcer le droit des citoyens de l’UE en matière de respect de la vie privée vis-à-vis des différentes lois américaines actuellement établies (FISA, CLOUD Act, Patriot Act). Pour les entreprises d’envergure internationale qui suivaient le protocole du Privacy Shield, elles sont confrontées à une période d’incertitude en attendant le remplacement de cet accord par un nouveau mécanisme.
En réalité, depuis l’accord Safe Harbor, on observait un conflit entre la RGPD et les instances américaines. D’un côté, la réglementation européenne impose de faire confiance à ses normes relatives à la protection des données, mais de l’autre, les États-Unis semblent avoir une législation trop souple sur ce point.
Face à cette problématique, si votre entreprise dispose d’un serveur localisé aux USA, relocaliser le stockage de vos données en Europe pourrait vous assurer une sécurité accrue par rapport aux normes imposées par la RGPD, mais serait aussi une solution vous permettant d’éviter de voir vos données être réquisitionnées par le gouvernement américain à des fins que vous
