Dans le cadre des négociations de l’Europe pour trouver de nouvelles sources d’approvisionnement de ressources énergétiques (gaz et pétrole) suite au conflit Russie Ukraine. Un accord politique est a mis dans la balance l’énergie pour l’Europe contre un nouveau cadre de transfert des données vers les USA.
Données personnelles USA et EU promettent un nouvel accord
Pour le moment seul un accord politique, sans aucun texte juridique a été conclu. Voilà en résumé la situation actuelle suite aux annonces du 25 mars 2022 entre Ursula von der Leyen et Joe Biden.
De cette annonce aucune communication tangible n’a été donnée, on ne sait rien de ce qui a été négocié. Cela ressemble plus à une annonce politique d’une volonté pour que des équipes se mettent au travail et négocient.
CEPD le comité européen de la protection des données tempère les effets d’annonce
Ce 13 avril 2022, le CEPD, cette institution qui réunit toutes les CNIL des pays de l’union européenne, parle d’un « premier pas positif dans la bonne direction » mais tempère qu’elle « examinera comment cet accord politique se traduit en propositions juridiques concrètes qui répondent aux inquiétudes soulevées par la CJUE ».
Le comité rappelle que le « RGPD impose à la Commission de solliciter l’avis du CEPD avant d’adopter une potentielle nouvelle décision ».
Safe Harbor, Privacy Shield et troisième tentative voué à l’échec ?
La Cours de Justice de l’Union Européenne ne pourra que trancher défavorablement si les conditions réelles côté USA n’ont pas évoluées. Tout accord entre l’EU et les USA sera voué à l’échec tant qu’une réelle remise en cause des lois américaines n’aura pas vu le jour.
Il ne faut pas oublier que les lois américaines du Cloud Act, Patriot Act, FISA « Foreign Intelligence Surveillance Act oblige les sociétés américaines à collaborer avec l’administration américaine et oblige la surveillance ciblée de personne en dehors du territoire américain. Pour rappel l’ancien analyse de la CIA Edward Snowden avait démontré avec des preuves que cette surveillance n’était pas contenue et s’appliquait également aux Américains sur leur propre territoire.
Vers une nouvelle annulation de l’accord de transfert de données entre EU et USA ?
Maximilian Schrems, par qui est arrivé les premières attaques sur Saf Harbor et Privacy Shield prépare déjà sa riposte et a déclaré :
Il semble que nous fassions un autre PrivacyShield surtout à un égard : la politique au détriment du droit et des droits fondamentaux. Cela a déjà échoué deux fois. Ce que nous entendons, c’est une autre approche ‘de rafistolage’ mais aucune réforme substantielle du côté américain. Attendons un texte, mais je parie en premier lieu qu’il échouera à nouveau.
Maximilian Schrems
L’approche semble être la même du côté USA avec Ashley Gorski, avocate au sein de l’Union américaine pour les libertés civiles qui déclarait :
« Si l’administration Biden et la Commission européenne annoncent un nouvel accord sur le bouclier de protection de la vie privée sans réformes législatives américaines, il est presque certain que l’accord sera (encore) annulé par le plus haut tribunal de l’UE, laissant les entreprises américaines dans l’embarras »
Ashley Gorski
Niveau opérationnel et juridique que font les entreprises ?
Actuellement nos clients et nos relations peuvent se résumer en trois postures.
Le premier groupe de société ont leurs services juridiques qui ont interdit en interne l’usage des solutions américaines même hébergées en France avec un impact parfois conséquent. Fini Office 365 / Outlook, Gmail, Dropbox, AWS, Azur, Cloudflare et autres solutions SaaS. Cela se traduit concrètement par des DSI qui ne peuvent plus déployer de nouveaux projets sur ces entreprises et qui doivent mettre en œuvre une migration des projets existants vers des entreprises européennes. On le voit dans la progression des marchés des différentes structures européennes de service informatique en 2021, le mouvement de retour est lancé.
Le deuxième groupe de société est plutôt dans l’attentisme et continue d’exploiter les services déjà déployés sans projet immédiat de migration retour. Néanmoins ils font de plus en plus l’effort de ne plus déployer de nouveaux projets chez des entreprises américaines.
Il y a un troisième groupe, assez minoritaire dans notre entourage, qui insistent pour rester chez les entreprises américaines souvent par lassitude en se disant qu’ils n’ont jamais été embêtés par des contrôles RGPD ou par leurs clients.
Mais les récentes condamnations en Europe lancées par des internautes sur des sites pour des usages de Google Analytics ou l’utilisation de police de caractères hébergées par Google montre que le grand public se saisit de cette problématique. Un usage aussi simple qu’une police de caractère hébergé par une entreprise américaine a eu des conséquences financières assez lourde pour l’éditeur du site avec des pénalités journalières.
En conclusion il est évident qu’il ne faut pas courir vers ces solutions américaines tant que le cadre juridique n’est pas créé et stabilisé après les recours et procès qui vont en découler. L’urgence à migrer en dehors des entreprises américaines va dépendre plus de votre volonté et force interne mais également des données que vous hébergés ou faites transiter par ces entreprises. Dès lors qu’il s’agira de données personnelles au sens RGPD il peut être prudent d’étudier la possibilité d’un retour.
