L’Union européenne vient d’annoncer la conclusion d’un accord de principe avec les États-Unis sur un nouvel accord sur les flux de données transatlantiques – signalant potentiellement la fin des nombreux mois d’incertitude juridique qui ont entravé les services cloud après une décision de justice historique en juillet 2020 qui a frappé vers le bas du bouclier de protection des données UE-États-Unis.
« Nous avons trouvé un accord de principe sur un nouveau cadre pour les flux de données transatlantiques », a déclaré aujourd’hui la présidente de la Commission européenne, Ursula von der Leyen, lors d’une conférence de presse conjointe avec le président américain Joe Biden.
« Cela permettra des flux de données prévisibles et fiables entre l’UE et les États-Unis, en protégeant la vie privée et les libertés civiles. »
L’incertitude juridique qui pèse sur les flux de données UE-États-Unis a conduit, ces derniers mois, les agences européennes de protection des données à émettre des ordonnances contre les flux de données personnelles transitant via des produits tels que Google Analytics, Google Fonts et Stripe, entre autres.
Le principal régulateur européen de Facebook a également finalement envoyé un projet de décision révisé à Meta le mois dernier, dans le cadre d’une plainte pluriannuelle liée à ses flux de données UE-États-Unis, après que la société ait épuisé les recours judiciaires contre une précédente ordonnance de suspension préliminaire à l’automne 2020.
Bien que le géant des réseaux sociaux n’ait toujours pas en fait a reçu l’ordre de suspendre ses flux de données UE-États-Unis – et peut désormais esquiver complètement cette balle si les régulateurs de l’UE acceptent de suspendre les mesures d’application du transfert de données maintenant qu’un accord politique est en place avec les États-Unis, comme ils l’ont fait lorsque le bouclier de protection des données a été convenu en principe, accorder une période de grâce aux mesures d’application suspendues pendant le nombre de mois nécessaires pour obtenir un accord final et adopter le nouvel accord sur les flux de données entre l’UE et les États-Unis.
Ce sera sûrement ce que Meta espérait se produire alors qu’il cherchait à retarder l’application antérieure.
Le détail de ce qui a été convenu par l’UE et les États-Unis en principe – et comment exactement les deux parties ont réussi à combler le fossé entre ce qui reste deux systèmes juridiques orientés très différemment – n’est pas clair. Et puisque la durabilité de l’accord dépendra exactement de ce petit détail, il n’y a pas grand-chose à retenir de l’annonce d’aujourd’hui au-delà du geste politique.
L’incertitude entourant les transferts de données entre l’UE et les États-Unis remonte en fait au-delà de 2020. Un accord antérieur bien plus ancien, appelé Safe Harbor, a été invalidé par le plus haut tribunal européen en 2015 en raison du même conflit fondamental entre les droits à la vie privée de l’UE et les lois américaines sur la surveillance.
Cette dynamique signifie que tout accord de remplacement est confronté à la perspective décourageante de nouveaux défis juridiques pour tester sa solidité lorsqu’il s’agit de garantir que les droits des citoyens de l’UE sont correctement protégés lorsque leurs données circulent aux États-Unis.
« Nous avons réussi à équilibrer la sécurité et le droit à la vie privée et à la protection des données », a suggéré von der Leyen dans de brèves remarques supplémentaires lors d’une conférence de presse de grande envergure. Elle a également qualifié l’accord conclu d' »équilibré et efficace », mais n’a fourni aucun détail sur ce qui a été réellement décidé.
Mettre à jour: La Maison Blanche a maintenant publié cette « fiche d’information » sur l’accord-cadre transatlantique sur les données qui met un peu en lumière les points sur lesquels les deux parties se sont concentrées – notant par exemple que les peuples de l’UE pourront demander réparation à partir d’un « nouveau recours multicouche mécanisme qui comprend un tribunal de révision de la protection des données indépendant » qui, selon l’administration américaine, serait composé de personnes « choisies en dehors du gouvernement américain qui auraient pleine autorité pour statuer sur les réclamations et ordonner les mesures correctives nécessaires ».
La Commission avait des choses très similaires à dire sur Privacy Shield (et Safe Harbor) – jusqu’à ce que le tribunal adopte un point de vue très différent, bien sûr. Il est donc important de comprendre qu’une évaluation complète et finale ne repose pas et ne peut pas reposer sur les commissaires européens ou leurs homologues américains.
Seule la Cour européenne de justice peut intervenir.
Max Schrems, l’avocat de la protection de la vie privée et militant dont le nom est devenu synonyme d’annulation des accords de transfert de données transatlantiques (alias Schrems I et Schrems II) n’a pas tardé à émettre une note de scepticisme.
Répondant à l’annonce de von der Leyen dans un tweeteril a écrit : « Il semble que nous fassions un autre bouclier de protection des données, en particulier à un égard : la politique sur la loi et les droits fondamentaux.
« Cela a échoué deux fois auparavant. Ce que nous avons entendu est une autre approche « disparate », mais aucune réforme substantielle du côté américain. Attendons un texto mais mon [first] le pari est qu’il échouera à nouveau.
Schrems a célèbre – et correctement – appelé le rouge à lèvres Privacy Shield sur un cochon. Ainsi, son évaluation du texte, lorsqu’il sortira, aura sans doute plus de poids que celle de la Commission.
Via son organisation à but non lucratif de défense de la vie privée, noyb, Schrems a également déclaré qu’il s’attend à pouvoir obtenir tout nouvel accord qui ne répond pas aux exigences du droit de l’UE à la CJUE « d’ici quelques mois » via un litige civil et préliminaire. injonction.
« [O]depuis [the final text] arrive, nous l’analyserons en profondeur, avec nos experts juridiques américains. S’il n’est pas conforme au droit de l’UE, nous ou un autre groupe le contesterons probablement. Au final, la Cour de justice tranchera une troisième fois. Nous nous attendons à ce que cela revienne devant la Cour dans les mois qui suivront une décision finale », a-t-il noté dans un communiqué.« Il est regrettable que l’UE et les États-Unis n’aient pas utilisé cette situation pour parvenir à un accord « sans espionnage », avec des garanties de base. parmi les démocraties aux vues similaires. Les clients et les entreprises font face à plus d’années d’incertitude juridique.
La réponse de l’industrie technologique à la nouvelle d’un autre accord de transfert de données relancé a été, comme on pouvait s’y attendre, positive.
Google, qui, avec Meta, a fait pression ces derniers mois pour que les deux parties trouvent un compromis viable, n’a pas tardé à saluer l’annonce.
Dans un communiqué, un porte-parole de l’entreprise nous a dit :
« Les gens veulent pouvoir utiliser les services numériques de n’importe où dans le monde et savoir que leurs informations sont en sécurité et protégées lorsqu’ils communiquent au-delà des frontières. Nous saluons le travail accompli par la Commission européenne et le gouvernement américain pour convenir d’un nouveau cadre UE-États-Unis et protéger les transferts de données transatlantiques.
L’association de l’industrie technologique CCIA, qui a également fait pression pour un remplacement de Privacy Shield, a salué l’annonce d’aujourd’hui comme une « bonne nouvelle ». Bien que son directeur, Alexandre Roure, ait trouvé un peu d’espace dans sa déclaration de réponse pour exprimer son mécontentement vis-à-vis des nouvelles règles de l’UE sur la réutilisation des données des appareils industriels et connectés – qui, selon lui, introduiront de nouvelles « restrictions de données ».
Note de l’éditeur: Ce rapport a été mis à jour avec des commentaires supplémentaires et un pointeur vers la fiche d’information de la Maison Blanche