Skip to main content

Bouclier de protection des données II : est-ce encore possible dans un monde GDPR ?

    Avec les récentes décisions du GDPR qui mettent fondamentalement fin à la façon dont les entreprises traitent les données telles que nous les connaissons, il y a maintenant une énorme pression pour un meilleur alignement entre l'UE et les États-Unis sur la confidentialité des données. Pendant longtemps, les entreprises et autres institutions se sont senties en sécurité grâce au Safe Harbor et au Privacy Shield, mais à mesure que les données devenaient une marchandise et que la pratique de leur collecte et de leur vente devenait plus lucrative et invisible, les gens ont commencé à s'en rendre compte. Aujourd'hui, nous en sommes au point où nous avons besoin de nouveaux accords sur la confidentialité des données.

    Tout le monde le souhaite, mais comment en sommes-nous arrivés là et en sommes-nous proches ?

    Qu'est-ce que le Privacy Shield ?

    En octobre 2015, la Cour de justice de l'Union européenne a invalidé les principes de confidentialité de la sphère de sécurité internationale.

    Le Safe Harbor, développé entre 1998 et 2000, était censé empêcher les organisations privées de divulguer ou de perdre les données personnelles des citoyens européens et américains. Après de nombreuses plaintes, notamment au sujet des données de Facebook, l'UE a décidé que les États-Unis et le Safe Harbor n'étaient pas conformes à la directive européenne sur la protection des données.

    Cette décision sur le Safe Harbor est également connue sous le nom de Schrems I. Dans le but de limiter les impacts négatifs de l'invalidation du Safe Harbor, l'UE et les États-Unis ont créé un nouveau cadre de données, le Privacy Shield, en 2016.

    Ce nouvel accord était censé remédier à certaines des défaillances de Safe Harbor, mais, selon le Contrôleur européen de la protection des données (CEPD), il restait quelques problèmes liés à la suppression des données, à la collecte de quantités massives de données et au nouveau mécanisme de médiateur. Indépendamment de ces points, la Commission européenne a adopté le Privacy Shield en juillet 2016.

    Le Privacy Shield et Schrems II

    Les problèmes potentiels repérés en 2016, un paysage technologique en pleine mutation et des changements politiques sur les deux continents, ont conduit à la chute du Privacy Shield en 2020.

    Max Schrems, militant autrichien de la protection de la vie privée, a fait valoir que l'accord sur les données ne protégeait pas suffisamment la confidentialité des données personnelles des citoyens européens lorsqu'elles étaient transférées aux États-Unis.

    Le principal problème qui a fait tomber le cadre était la surveillance de masse américaine.

    "Lebouclier de protection de la vie privée n'était pas le problème principal ; le problème est que le bouclier de protection de la vie privée a dû céder aux lois américaines sur la surveillance", a déclaré M. Schrems.

    Johnny Ryan, membre senior du Conseil irlandais pour les libertés civiles, a ajouté que les problèmes liés au bouclier de protection de la vie privée et à la sphère de sécurité n'ont jamais porté sur l'examen des données pour des raisons de sécurité, mais plutôt sur des processus transparents et des protections juridiques pour les citoyens de l'UE : "L'essentiel est qu'un juge puisse fournir à une personne qui se trouve en dehors des États-Unis une protection juridique, qu'elle puisse faire valoir ses droits si ceux-ci sont violés", a déclaré M. Ryan. Sans ces protections en place, et sans véritable moyen de répondre rapidement à ces préoccupations, Privacy Shield a été invalidé en juillet 2020, dans une décision qui est maintenant connue sous le nom de Schrems II.

    L'avenir du Privacy Shield

    En l'absence d'un cadre juridique pour le traitement des données lorsqu'elles circulent entre l'Europe et les États-Unis, les pays d'Europe ont déclaré illégaux de nombreux types de transferts de données : L'Autriche et Google Analytics, la Belgique et l'IAB, la France et Google Analytics, etc. À l'heure actuelle, il est fort probable que d'autres pays viennent s'ajouter à cette liste.

    De tels cas rendent la nécessité d'un remplacement du Privacy Shield encore plus importante - pour les dirigeants des deux côtés de l'Atlantique.

    Sans parler du fait que de nombreux pays et agences de l'UE s'intéressent de plus en plus aux pratiques en matière de données des grandes entreprises technologiques, comme Facebook, Microsoft, Amazon et Google.

    Depuis que le président Joe Biden est entré en fonction, il s'efforce de trouver un remplaçant, de même que la présidente de la Commission européenne, Ursula von der Leyen, mais jusqu'à présent, ces réunions n'ont donné lieu qu'à des paroles d'optimisme.

    Lors de la réunion du Conseil "Trade and Tech" (TTC) en septembre 2021, les États-Unis ont proposé un mécanisme de surveillance quasi-judiciaire des agences de sécurité nationales afin de faire signer un nouvel accord avant la fin de l'année, mais cet accord n'a pas été accepté. On espère que les récentes négociations aboutiront à un meilleur résultat lors de la prochaine réunion du CTT en mai 2022.

    Beaucoup espèrent que les deux parties seront en mesure de parvenir à un accord permettant aux agences de renseignement américaines de continuer à accéder aux données des personnes, tout en protégeant les droits des citoyens européens.

    L'une des solutions pourrait être la création d'un organe judiciaire indépendant chargé d'examiner les plaintes des citoyens européens qui estiment que les agences américaines ont traité leurs données de manière illégale.

    Les détails de ce plan - par exemple, comment quelqu'un pourrait-il savoir qu'il doit déposer une plainte et si celle-ci tiendrait la route devant un tribunal - ne sont pas encore connus.

    Mais une chose est claire, quelle que soit la décision prise, elle ne le sera pas au Congrès - un fait qui pourrait tuer tout accord avant même qu'il ne commence.

    Étant donné que les accords et les progrès politiques sont difficiles à obtenir de nos jours, tout changement apporté devra être conforme aux règles et réglementations américaines existantes.

    La plupart des experts s'accordent à dire que tout progrès significatif devrait passer par des modifications législatives aux États-Unis, qui limiteraient la manière dont les agences de sécurité nationales peuvent accéder aux données de l'UE et donneraient aux citoyens européens un moyen clair et transparent de contester légalement cet accès devant les tribunaux.

    Sans ces éléments, combien de temps faudra-t-il attendre avant d'avoir un Schrems III ?