L’annulation du « Privacy Shield »
La Cour de justice de l’Union européenne (CJUE) a annulé, jeudi 16 juillet 2020, le « Privacy Shield », l’accord adopté en juillet 2016 entre les Etats-Unis et l’Union Européenne qui permettait aux entreprises de transférer légalement les données personnelles de citoyens européens aux Etats-Unis.
Ainsi, depuis le 16 juillet, les transferts de données personnelles qui s’appuient sur cette base juridique sont donc illégaux. Et les entreprises dans cette situation encourent une amende dont le montant peut atteindre 20 millions d’euros ou 4% du chiffre d’affaire.
Les conséquences de cette décision vont constituer pour de nombreuses entreprises européennes un très grand défi. En effet, d’un point de vue pratique, les entreprises utilisant les services d’entreprises américaines sur le sol américain pour le stockage et le traitement de données personnelles doivent immédiatement suspendre ces transferts et ces traitements et supprimer les données personnelles des serveurs américains.
Les conditions du RGPD pour le transfert hors UE de données personnelles
Pour rappel, le RGPD (Règlement Général sur la Protection des Données – règlement qui s’applique dans l’Union Européenne depuis mai 2018) prévoit que lorsque des données personnelles font l’objet, pour du stockage et du traitement, d’un transfert hors UE, certaines conditions doivent être respectées :
- L’adéquation : Le pays dans lequel sont transférées les données, est jugé disposer d’une réglementation garantissant un niveau de protection des données personnelles de niveau équivalent au RGPD. Il existe donc une liste de ces pays.
- Les Clauses Contractuelles Types : clauses insérées dans le contrat entre l’expéditeur et le destinataire des données qui décrivent les règles à appliquer par le destinataire pour se conformer au RGDP.
- Les BCR (règles d’entreprise contraignante) : qui sont des règles appliquées par un groupe au sein de ses différentes entités et qui garantissent un niveau de protection conforme au RGPD.
La législation américaine : Patriot Act et Cloud Act
La législation américaine, notamment le Patriot Act et le Cloud Act, permet à l’administration américaine et à ses agences de renseignement, pour des raisons officielles de sécurité nationale d’accéder et d’utiliser ces données stockées sur son sol mais aussi dans toute entreprise américaine quel que soit son implantation géographique, sans autorisation ni notification de leurs propriétaires. Et depuis les révélations d’Edouard Snowden, nous savons que l’administration américaine ne s’en prive pas pour mener la guerre économique y compris contre ses alliés.
Ainsi, stocker et traiter ses données chez une entreprise américaine, s’est prendre le risque d’exposer ses données à de l’espionnage industriel et à ne pouvoir respecter le RGDP pour les données personnelles.
Les solutions
Ainsi les entreprises européennes, qui font appel à des prestations d’hébergement et de stockage de données personnelles de citoyens européens peuvent mettre en place l’une des conditions citées plus haut, ce qui peut s’avérer difficile voir impossible auprès de prestataires type GAFA et à minima long ou alors, plus sûr, confier le stockage de ces données et traitements à des prestataires européens dans le territoire de l’UE et qui ne sous-traitent pas ces activités à des entreprises américaines.
Il existe dans l’UE des prestataires de services informatiques variés de haut niveau. Consultez par exemple la liste de ces entreprises françaises (en bas de page). Choisir une entreprise européenne, c’est se faciliter sa mise en conformité au RGPD et le maintien de la confidentialité de vos données et traitements. C’est aussi l’opportunité de contribuer au développement de géants européens du numérique à l’image des GAFA américains ou des BATX chinois et de contribuer à la reconquête de la souveraineté numérique du pays.
Que faire ?
Toutes les entreprises ayant des traitements impliquant un transfert de données aux Etats-Unis et dans toute entreprise américaine doivent définir un plan d’action et initier sa mise en œuvre. Certaines de ces actions seront longues à mettre en œuvre, il faut donc se mettre au travail rapidement.
À propos de l’auteur