Depuis l’invalidation du Privacy Shield en 2020, le transfert des données personnelles entre les USA et l’Europe est un casse-tête juridique, notamment pour les multinationales. Un nouvel accord-cadre vient d’être dévoilé mais un long chemin juridique reste à parcourir.

En juillet 2020, la Cour de justice de l’Union européenne (CJUE) invalidait le « Privacy Shield » au motif qu’il n’offrait pas de garanties suffisantes au regard du RGPD. Une décision retentissante, qui allait bouleverser considérablement le transfert des données personnelles de l’Union européenne vers les États-Unis. Car le « Privacy Shield » se voulait le « bouclier de protection des données personnelles » en imposant sur le territoire américain un niveau de protection équivalent aux exigences européennes pour toutes les données privées d’origine européenne.

Cette décision a immédiatement mis les multinationales dans une situation ingérable puisqu’elles ne disposaient plus du moindre cadre juridique pour leurs transferts de données cross-atlantique et s’exposaient dès lors aux représailles pour non-conformité au RGPD. C’est notamment un des points qui a amené la semaine dernière la CNIL à considérer que l’outil de mesures d’audience de Google, Google Analytics, n’était pas conforme au RGPD (des données privées étant transférées vers les USA). Une décision qui a mis la quasi-totalité des sites Web européens dans un total embarra.

Mais un nouvel accord laisse espérer une éventuelle solution dans les mois à venir. Les USA et l’Union européenne ont en effet annoncé s’être mis d’accord sur un nouveau « Trans-Atlantic Data Privacy Framework ». Ursula von der Leyen explique que cet accord « permettra des flux de données prévisibles et dignes de confiance, en équilibrant la sécurité, le droit à la vie privée et la protection des données. Il s’agit d’une nouvelle étape dans le renforcement de notre partenariat. »
Un accord de principe qui doit mener à la rédaction de textes juridiques qui devront être adoptés par le parlement européen et le parlement américain et qui verra notamment la création d’une autorité européenne jugeant de la pertinence des demandes américaines d’accès aux données concernant les enquêtes de leurs services secrets.

Mais pour bien des observateurs, si les USA ne mènent pas préalablement une réforme similaire au RGPD sur leur propre territoire, cette nouvelle tentative risque bien, elle aussi, d’être annulée. La balle est donc pour l’instant bien plus dans le camp américain. Il faudra un peu plus que des belles paroles politiques pour convaincre les Européens de la solidité des procédures mises en œuvre pour protéger les données européennes placées sur des infrastructures gérées par des entreprises soumises au droit américain.

À lire également :

> L’ANSSI actualise sa certification SecNumCloud

> Ce qu’implique l’invalidation du Privacy Shield par la Cour de justice européenne

> Sécurité des applications : l’importance du lieu de résidence des données dans l’UE

> L’avenir du cloud européen commence maintenant.

> 9 tendances stratégiques selon Gartner