Peut-on encore utiliser des sociétés américaines, pour gérer des données personnelles ?

Lorsque vous chercher une solution pour héberger vos données et votre site, pour envoyer une campagne d'emails, pour gérer les visites sur votre site, les grands noms des sociétés américaines viennent très vite à l'esprit. que ce soit Microsoft, Amazon, Google ou autre. Si utiliser des sociétés européennes ne pose aucun problème, il faut rappeler que confier des données personnelles à des entreprises non européennes (Hors Espace Economique Européen) peut poser problème car ces pays ne respectent pas nécessairement le RGPD.  Certes, il existe des pays que la Commission Européenne considère que leur règlementation est équivalente, ce sont les pays qui ont obtenu une "décision d'adéquation", et les USA n'en font pas partie.

Comme le marché européen est très intéressant pour les USA, et que l'Europe a intérêt à ce que les échanges de données puissent se passer sans trop de soucis, Un premier accord, appelé le "Safe Harvbour" avait été signé par les deux parties. Comme cet accord avait été annulé par la Cour de Justice Européenne, pour non-respect de la vie privée, un nouvel accord, le Privacy Shield a été signé. Mais, patatras, la Cour de Justice l'a annulé à nouveau en juillet 2021. 

Les raisons sont très claires : plusieurs règlementations américaines, permettent aux autorités américaines de demander aux sociétés américaines d'avoir accès à des informations concernant les données dont elles disposent, même concernant des citoyens ou résidents européens. 

Et ces demandes d'accès sont réelles, plusieurs milliers de demandes par an sont effectuées sur cette base et comme certaines sont confidentielles, les personnes concernées ne sont pas informées. Cet règlementation est évidemment contraire au RGPD dont un des principes est la transparence et l'information aux personnes concernées.

Et donc depuis juillet 2021, l'utilisation de sociétés américaines n'est pas simple !

L'European Data Protection Board, qui regroupe toutes les autorités de protection des données européennes a proposé des recommandations, assez complexes à mettre en place, et qui consistent à analyser les possibilités juridiques qui permettraient de recourir à des sociétés américaines. Mais il faut bien reconnaître, qu'après les avoir examinées et après avoir analysé les nombreux documents proposés par les sociétés américaines pour tenter de convaincre les entreprises et organisations européennes, il reste toujours une possibilité que les autorités américaines aient accès à vos données et donc, travailler avec une société américaine pose problème par rapport au RGPD..

Il existe une solution technique qui permet de recourir aux services de société américaines, dans certains cas. En effet, les données que vous hébergez dans un cloud américain, si elles sont cryptées par vos soins et que votre sous-traitant américain ne peut donc avoir accès aux données le RGPD est respecté. Mais ce genre de solution ne fonctionne que pour l'hébergement par exemple, pas si vous confiez des adresses email pour une campagne d'emailing.

Par contre, on entend souvent dire que si les serveurs de la société américaine sont en Europe, il n'y a plus de problème. Rien n'est moins vrai. En effet, la loi américaine impose que les sociétés américaines répondent aux demandes des autorités indépendamment de la localisation des serveurs. 

N'oublions pas que plusieurs autorités de protection des données ont pris une décision claire concernant Google Analytics qui est désormais interdit en Europe car contraire au RGPD.  D'autres décisions pourraient tomber concernant d'autres services en ligne américains.

Il existe néanmoins de solutions européennes qui peuvent dans certains cas remplacer les services proposés par des sociétés américaines.

En mars 2022, le Président Biden et la Présidente de la Commission Européenne ont signalé qu'un accord avait été trouvé pour relancer le commerce des données entre l'Europe et les Etats-Unis. Mais aucun texte ne fut proposé et il fallut attendre le mois d'octobre 2022 pour que le Président Biden signe un Executive Order et que la Commission Européenne annonce quelle travaillait sur uen décision d'adéquation, qui reconnaitrait donc les Etats Unis comme un pays dont la législation serait assimilée au RGPD.

En effet, pour que la décision d'adéquation soit officialisée, il faudra passer par plusieurs étapes:

• recueillir l'avis de l'European Data Protection Board
• le Parlement Européen va vraisemblablement se saisir de cette question
• le conseil Européen devra donner son accord

Et donc il faudra attendre, au mieux, le milieu de 2023 pour que ces étapes soient franchies, pour autant qu'elles le soient.

En effet, les spécialistes du RGPD sont unanimes! L'executive order du président Biden ne répond pas à toutes les critiques émises par la Cour de Justice et il est vraisemblable que ce nouvel accord Europe Etas-Unis soit à nouveau annulé par la Cour, ce qui prolongerait l'incertitude juridique actuelle.

Lorsque des solutions européennes existent, et il y en a de plus en plus, nous vous recommandons de privilégier ces solutions. Lorsque vous ne trouvez pas de solutions européennes équivalentes, le minimum est de documenter votre décision de choisir une solution américaine et de limiter les transferts de données au maximum.