Transferts de données désormais autorisés vers les Etats-Unis : vraiment ?
Contexte
Vous avez dû entendre parler de la décision de la Cour de Justice de l’Union Européenne qui a annulé, pour la seconde fois, l’accord proposé par la Commission Européenne qui permettait les transferts de données personnelles de l’Europe vers les Etats-Unis, et qui était appelé le Privacy Shield. La raison principale de l’annulation en était que les services secrets américains pouvaient avoir accès aux données personnelles détenues par les sociétés américaines et donc aux données des citoyens et consommateurs européens sans que ceux-ci l’empêcher voire parfois même en avoir connaissance. Et donc depuis juillet 2021, l'utilisation comme sous-traitants de sociétés américaines était devenue complexe, voire parfois impossible ou illégale.
Les condamnations
Suite à des plaintes de l'ONG, NOYB (None of Your Business) à l'origine de l'annulation du Privacy Shield, des plaintes ont été déposées dans toute l'Europe contre des entreprises qui utilisaient Google Analytics. La CNIL et d'autres autorités européennes leur ont donné raison et déclaré GA contraire au RGPD.
Tout récemment, l’amende record de 1,2 milliards pour Facebook démontrait une fois de plus les difficultés de concilier RGPD et transfert de données vers les USA. Tout cela générait une incertitude juridique colossale, car tout recours à un des GAFAM pouvait poser un problème et était susceptible d’amende lourdes.
Enfin Ursula vint
Paraphrasant la phrase de Boileau concernant Malherbe: Enfin Ursula vint, d'un accord enseigna le pouvoir, et réduisit les DPO aux règles du devoir.
Abracadabra, jamais deux sans trois la Commission, par un coup de baguette magique et un peu de poudre aux yeux considère depuis quelques jours que les Etats-Unis sont redevenus fréquentables, que leur législation est conforme au RGPD et que les milliards de données personnelles des citoyens européens pourront de nouveau être transmises à des sociétés américaines.
Et pourtant le Parlement européen, les autorités européennes de protection des données et la majorité des experts avaient dénoncé cette proposition de « décision d’adéquation » qui considère, en se fermant les yeux, que la législation américaine est conforme au RGPD.
Dormez bien braves gens
Cette décision a vu fleurir un peu partout des déclarations, peut-être un peu hypocrites, ou inspirées par la facilité, signalant que tout allait bien et que toutes les données personnelles des Européens pouvaient désormais se retrouver à nouveau dans des serveurs américains sans aucun problème. Malheureusement rien n'est moins vrai.
Cette décision sera vraisemblablement annulée, une troisième fois, par la cour de justice de l'Union Européenne dans les prochains mois et ce pour plusieurs raisons et en particulier parce que la surveillance de masse et le contrôle des données par les services
Et donc, durant quelques mois, les entreprises et organisations européennes et leurs fournisseurs de cloud et de solutions informatiques américains vont faire semblant de croire que tout va bien.
Et une fois de plus, non seulement la protection des données personnelles des citoyens européens n’est pas prise en compte par la Commission, mais au lieu de favoriser le chiffre d’affaires des GAFAM, n’aurait-il pas été plus utile d’investir les efforts de la Commission dans la création de solutions européennes, qui elles respectent les citoyens et les consommateurs européens ?
Conclusion
L'ONG NOYB, à la base des deux premières annulations est dans les Starting blocs pour faire annuler pour la troisième fois cette décision. Comme le dit son président Max Schrems, « On dit que la définition de la folie est de faire la même chose encore et encore et de s’attendre à un résultat différent ».