Privacy shield: dites adieu à Microsoft, Google, etc.

La Cour de Justice a rendu récemment une décision importante concernant les transferts de données Europe-USA. Cette décision a surpris à la fois par ses conséquences et par l’absence de « période de grâce » pour que les entreprises puissent s’adapter. Décryptons la situation.

La décision de la Cour de Justice Européenne met fin au Privacy Shield. Cet accord permettait aux entreprises européennes de transférer des données personnelles vers des sociétés ou des serveurs américains sans que ce transfert ne viole le RGPD. La plus haute juridiction européenne a été saisie par un avocat autrichien préoccupé par la protection des données et par les pouvoirs dont dispose le gouvernement américain pour forcer les entreprises américaines à leur ouvrir leurs serveurs. Après examen de la situation, la Cour a jugé qu’effectivement, les pouvoirs octroyés par le législateur au gouvernement américain permettent à ce dernier de consulter des données personnelles, ou de les capter en examinant de manière automatisée les flux de données en provenance d’Europe.

1. Le Privacy Shield est mort.  Et donc, il n’est plus possible de transférer des données personnelles vers des sociétés américaines en vertu de cet accord, puisqu’il a été annulé.
2. Les clauses contractuelles en soins palliatifs. Si les clauses proposées par la Commission Européenne pour les pays tiers peuvent être appliquées à de nombreux pays, ce n’est pas le cas pour les Etats-Unis. En effet, les conditions pour qu’elles soient appliquées ne sont pas présentes aux USA, contrairement à ce que prétendent les grands acteurs américains du secteur. En effet l’accès aux données par le gouvernement américain rend inapplicable l’utilisation de ces clauses.
3. Le consentement est impossible ! En théorie, une entreprise pourrait demander aux utilisateurs de consentir au traitement des données. Mais, dans certains cas, le consentement n’est pas libre: quelle latitude a un employé pour refuser que son employeur lui crée un compte utilisant Gmail ou Microsoft Office? Et même si le consentement était possible, comment expliquer aux utilisateurs potentiels qu’ils consentent à ce que leurs données soient examinées par les autorités américaines pour garantir la sécurité nationale des Etats-Unis, et comment expliquer ce que ce gouvernement en fera ?
4. Le cryptage des données n’est pas une solution sure à 100%. En théorie, crypter les données de bout en bout (des ordinateurs ou des serveurs de l’entreprise jusqu’aux serveurs situés aux USA) pourrait offrir des garanties suffisantes de sécurité. Toutefois, les entreprise qui recourent à cette solution doivent faire très attention. En effet, les autorités américaines gardent leurs droits de surveillance. Il faudrait donc à la fois que le cryptage soit extrêmement solide et que les autorités américaines n’aient aucun moyen de se procurer les clés. Or, chacun sait que la sécurité absolue n’existe pas, même en théorie.
5. Les sociétés américaines ne peuvent donc plus être des sous-traitants au sens du RGPD. En effet, elles ne pourraient pas s’engager à respecter le RGPD même si elles le voulaient, du fait des lois américaines. Par conséquent, nous ne pouvons plus les choisir en tant que sous-traitants.

1. Les entreprises doivent arrêter tout transfert de données vers des sociétés américaines.
2. Nous n’avons malheureusement pas en Europe des équivalents à tous les fournisseurs de services américains.
3. Une charge de travail considérable se retrouve sur les épaules des entreprises et de leurs DPO sans que les autorités européennes ou nationales ne puissent aujourd’hui leur proposer de solution pratique.
4. Les autorités américaines vont-elles adoucir leurs règles de sécurité et de contrôle? On peut en douter, à moins que les géants américains du secteur ne parviennent à leurs fins par un de ces gigantesques efforts de lobbying dont elles ont le secret. Mais là-bas comme ici, un équilibre entre sécurité et vie privée est indispensable.

Bref, c’est un peu le chaos pour le moment. On peut espérer que les autorités européennes ne prendront pas immédiatement de sanctions, mais rien n’est certain à ce stade.

Analysez immédiatement tous vos contrats avec votre DPO ou votre conseil pour ce qui concerne les transferts de données vers des sociétés américaines.