L'administration Trump a récemment mis en péril un accord crucial concernant le transfert de données entre l'Union européenne et les États-Unis. Cet accord, connu sous le nom de "Privacy Shield", permet aux entreprises américaines de recevoir des données personnelles en provenance d'Europe tout en garantissant un niveau de protection adéquat. Cependant, des décisions judiciaires récentes ont remis en question la validité de cet accord, suscitant des inquiétudes au sein du secteur économique.Contexte
Les autorités américaines ont exprimé leur intention de modifier les conditions du Privacy Shield, ce qui pourrait entraîner des conséquences graves pour les entreprises européennes et américaines qui dépendent du transfert transatlantique de données. Les secteurs technologiques et financiers, en particulier, pourraient être confrontés à des perturbations majeures si un nouvel accord n'est pas conclu rapidement.
Face à cette incertitude, les entreprises cherchent des alternatives pour assurer la continuité de leurs opérations tout en respectant les réglementations sur la protection des données. Certaines envisagent de recourir aux clauses contractuelles types proposées par la Commission européenne, tandis que d'autres se tournent vers des solutions de stockage de données localisées pour minimiser les risques liés au transfert international de données.
Un accord bientôt caduque ?
La Fédération de l'industrie allemande (BDI) a mis en garde contre de grandes incertitudes pour les entreprises si le président américain Donald Trump devait supprimer la base juridique du transfert de données entre l'UE et les États-Unis.
« Un transfert de données transatlantique fiable et juridiquement sûr est indispensable pour l'industrie allemande », a déclaré Iris Plöger, membre de la direction de la BDI, au journal Handelsblatt. Si le soi-disant cadre UE-USA sur la confidentialité des données devait échouer, « cela aurait des conséquences désastreuses pour les entreprises et les autorités et entraînerait de grandes dépenses supplémentaires et une insécurité juridique ».
L'accord actuel entre Bruxelles et Washington s'appuie sur des engagements du gouvernement américain, donnés par le président de l'époque, Joe Biden, par le biais d'un « executive order », un décret d'application. Un tel décret peut toutefois être annulé. Cela se produit souvent lorsqu'un nouveau président entre en fonction ou lorsque les priorités politiques changent. Ce qui inquiète les milieux économiques, c'est que Trump avait annoncé, après son entrée en fonction, qu'il allait revoir les décisions de son prédécesseur en matière de politique de sécurité.
Cela concernerait également l'accord sur les données avec l'UE, car il interfère avec le mode de fonctionnement des services de renseignement américains. L'accord a permis de limiter massivement les possibilités d'accès étendues des services aux données personnelles transférées de l'UE vers les entreprises américaines. Ce n'est que grâce à cela qu'il est possible d'effectuer des transferts de données en toute sécurité juridique.
Pour les entreprises, c'est très important. En effet, qu'il s'agisse de données de clients de boutiques en ligne ou de données industrielles sensibles, l'Europe dépend dans de nombreux cas du stockage en nuage des États-Unis : Amazon Web Services (AWS), Microsoft et Google dominent le marché de l'infrastructure informatique en nuage. Le cabinet d'analyse Synergy estime leur part de marché en Europe à 70 %. Aucun des concurrents européens ne dépasse les deux pour cent.
La Cour européenne de justice a déjà annulé à deux reprises des accords transatlantiques sur les données
La Chambre de commerce et d'industrie allemande (DIHK) craint donc elle aussi de « graves conséquences » si Trump annule l'accord sur les données. « Les entreprises de toutes tailles - des groupes aux start-ups - seraient confrontées à des incertitudes juridiques et parfois à des risques de responsabilité », a déclaré le conseiller juridique en chef de la DIHK, Stephan Wernicke.
Pourtant, le cadre juridique en vigueur depuis maintenant près de deux ans pour les entreprises des deux côtés de l'Atlantique était considéré comme une percée importante, après que la Cour de justice de l'Union européenne (CJUE) ait seulement annulé en 2015 l'accord transatlantique « Safe Harbor » et en 2020 son successeur, le « Privacy Shield ».
Les décisions de justice avaient été lancées par le défenseur autrichien des données Max Schrems et les révélations d'Edward Snowden. Le lanceur d'alerte américain avait documenté en 2013 le fait que les services secrets américains comme la NSA et d'autres autorités pouvaient accéder aux serveurs de groupes américains comme Facebook et Google.
Avec le nouveau « Data Privacy Framework », on se considère désormais du côté de la sécurité. L'accord conclu en 2023 remplit les conditions de la CJCE - avec des règles contraignantes qui limitent l'accès des services secrets américains aux données des Européens à un niveau « nécessaire et approprié », comme l'avait déclaré la Commission européenne à l'époque.
De plus, il existe désormais un moyen efficace pour les citoyens européens de porter plainte aux États-Unis en cas de violation. Cela a finalement permis d'obtenir une « décision d'adéquation » qui atteste de normes de protection des données équivalentes entre l'UE et les États-Unis.
Le président américain de l'époque, Biden, a considéré l'accord comme « l'aboutissement de plusieurs années de coopération étroite » entre les États-Unis et l'UE. « Il reflète notre engagement commun en faveur d'une protection forte des données et offrira de plus grandes opportunités économiques à nos pays et à nos entreprises des deux côtés de l'Atlantique ».
Le transfert de données transatlantique va-t-il basculer ? Trump a déjà posé les premiers jalons
En fait, de nombreuses entreprises utilisent leurs données à l'étranger. Dans une enquête menée par l'association numérique Bitkom à la fin de 2023, environ les deux tiers (63%) ont déclaré que cette possibilité d'utiliser quatre sur dix (42%) transférait des données aux États-Unis. Seuls les autres pays de l'UE (49 %) étaient plus communément désignés que le lieu de traitement des données.
Avec la nouvelle administration américaine, cependant, le trafic de données existant est de nouveau incertain. L'administration Trump a eu lieu le 20. Tous les décrets facultatifs au titre du Gouvernement de Biden ont décidé d'être réexaminés et levés dans un délai de 45 jours. Cela s'applique également au décret 14086, qui sert de base à la décision actuelle de l'UE sur l'adéquation.
Trump a déjà créé les premiers faits en torpillant le travail d'un organe central chargé de surveiller l'accord. Selon les médias, tous les représentants du « Privacy and Civil Liberties Oversight Board » (PCLOB) ont été renvoyés, sauf un. Le comité n'ayant pas atteint le quorum nécessaire, il ne peut plus faire son travail jusqu'à nouvel ordre.
« On se venge maintenant du fait que l'accord entre les États-Unis et l'UE n'a pas été mis en œuvre et garanti par une loi parlementaire comme l'exigeaient les défenseurs de la protection des données », a déclaré l'ancien responsable de la protection des données du Bade-Wurtemberg, Stefan Brink. Car chaque président américain « a lui-même le pouvoir de faire échouer à nouveau l'accord ».
Pour Marit Hansen, commissaire à la protection des données du Schleswig-Holstein, la balle est dans le camp de la Commission européenne, qui doit se positionner « à court terme ». Selon elle, cela pourrait également « faire la différence si l'économie numérique américaine s'engageait dans son propre intérêt pour l'accord de protection des données ». Indépendamment de cela, Hansen a conseillé aux entreprises concernées de se pencher à l'avance sur des « stratégies de sortie ».
L'alternative pour un transfert de données sécurisé présente plusieurs inconvénients
C'est également ce que préconise l'experte de la BDI, Plöger. « Les entreprises seraient bien avisées de prendre des dispositions supplémentaires pour le transfert de données vers les États-Unis », a-t-elle déclaré. Elle a proposé une protection par les clauses contractuelles standard de la Commission européenne. Ces clauses doivent aider à satisfaire aux exigences du règlement général sur la protection des données (RGPD). Elles contiennent différentes obligations. Par exemple, les deux parties doivent prendre des « mesures techniques et organisationnelles appropriées » pour garantir la sécurité des données.
Ces clauses présentent toutefois plusieurs écueils....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
