On aura tout vu : Les GAFAM au secours du RGPD !

Vous vous souviendrez peut-être qu’en 2021, l’accord entre les Etats-Unis et l’Europe, qui permettait le transfert de données personnelles entre les deux continents, le Privacy Shield, a été annulé par la Cour de Justice de l’Union Européenne car la section 702 de la loi FISA (Foreign Intelligence Surveillance Act) mise en œuvre sous l’administration Bush pour lutter contre le terrorisme,  permet aux services de renseignements américains d’avoir accès aux données personnelles des clients des sociétés américaines sur simple demande de ceux-ci. Et les demandes des services de renseignement sont nombreuses, en 2021 près de 5.000 pour Apple, 12.000 pour Microsoft et, oh horreur, elles concernaient parfois des citoyens américains !

La Cour de Justice a estimé, à raison, que cette réglementation est contraire au RGPD, car les citoyens européens n’avaient aucun contrôle ni possibilité de recours contre ce type de demandes d’utilisation de leurs données personnelles.

C’est suite à cet arrêt, et à une centaine d’actions de NOYB, l’ONG de Max Schrems, à la base de la décision de la Cour de Justice, que plusieurs décisions des autorités de protection des données européennes ont interdit le recours à Google Analytics, qui permet l’analyse des comportements des internautes, et que, par exemple, certains gouvernements européens envisageaient d’interdire l’usage de Microsoft. De plus, plusieurs plaintes étaient en cours d’examen contre les GAFAM pour non-respect du RGPD, avec des risques d’amendes qui se chiffrent en dizaines de millions d’euros…

Depuis cet arrêt, les spécialistes s’arrachaient les cheveux, face à des demandes de citoyens de ne plus utiliser les services des fameux GAFAM (Google, Amazon, Facebook, Apple et Microsoft). Or si des alternatives européennes existent pour certains services proposés par ces sociétés, il est plus complexe d’arrêter purement et simplement de ne plus utiliser Microsoft, SalesForce ou de renoncer aux publicités ciblées sur Facebook. Et donc les entreprises et organisation attendaient une solution des deux côtés de l’Atlantique.

En mars 2022, lors d’une rencontre entre le Président Biden et Madame Von Der Leyen, présidente de la Commission européenne, ils avaient annoncé, tout sourire, qu’ils allaient trouver une solution. Mais il fallut attendre 6 mois pour le Président Biden publie un Executive Order, qui ne répondait pas aux arguments de la Cour de Justice. Quelques mois plus tard la Commission proposait un « data privacy framework ». Mais cette proposition qui devait passer par plusieurs étapes avant son adoption fut critiquée dès sa publication car elle ne permettait pas non plus de régler le problème. En effet,   la règlementation américaine ne changeait pas et aucune réponse n’était apportée aux critiques de la Cour vis-à-vis des demandes des renseignements américains. La Commission allait donc revoir sa copie.

Bref, l’incertitude juridique persistait et bon nombre d’organisations restaient dans l’incertitude en continuant à utiliser, de façon quasi illégale, les services de sociétés américaines, qui, elles-mêmes risquaient des amendes de plusieurs dizaines de millions d’euros à cause de cette réglementation américaine.

e ici

Alors que les yeux se tournaient vers la maison blanche et la Commission européenne dans l’attente d’une vraie solution, Bloomberg annonçait qu’Apple, Alphabet (Google et YouTube), et Meta (Facebook, Instagram), face à ces menaces d’amendes voire d’interdiction de continuer à offrir leurs services en Europe, ont soudainement décidé de défendre leurs clients, certes américains, contre les services de renseignements et déclarent la main sur le cœur « nous ne voulons plus avoir à partager les données personnelles de nos utilisateurs avec les services de renseignement ». Ils souhaitent la suppression de la section 702, l’article critiqué par la Cour de Justice et qui permet l’accès aux données personnelles par les services de renseignement.

Et comme par hasard, ils proposent la même chose que ce que recommandait la Cour de Justice, soumettre ces demandes à l’autorisation d’un juge, ce qui permettrait un recours et donc une possible autorisation de ces transferts face au RGPD. Selon Bloomberg, le Congrès américain sera favorable à cette demande pour protéger les citoyens américains, ce qui permettrait indirectement de rendre les Etats-Unis plus fréquentables en matière de RGPD.

Rappelons que TikTok est très critiqué aux Etats-Unis car une loi chinoise assez semblable permet au gouvernement chinois d’avoir accès aux données des utilisateurs américains. Mais ce n’est surement qu’une coïncidence.

En fait, en mettant en avant qu’ils veulent protéger leurs clients américains, les GAFAM, ont aussi un intérêt indirect à la modification de la loi américaine, car cela rendrait à nouveau ces grandes entreprises fréquentables en Europe et ferait peut-être cesser cette incertitude juridique liée au non-respect du RGPD.

Lorsqu’on sait le poids de ces entreprises et de leur lobby à Washington, on peut espérer un changement de législation qui ramènerait un peu de sérénité dans les transferts de données entre l’Europe et les Etats-Unis.

Si l’on entend souvent de l’autre côté de l’Atlantique :  « ce qui est bien pour les Etats-Unis est bien pour le monde », ici on est plus proche de « si le respect du RGPD est bon pour les citoyens européens, c’est bon aussi pour les citoyens américains ».

Affaire à suivre…

Article publié précédemment dans le journal "Le Soir"