Dans un monde de plus en plus globalisé, la libre circulation des données personnelles est une question cruciale pour les entreprises de la tech.
La question du transfert de données entre les États-Unis et l’Europe est devenue une question cruciale puisque qu’une grande partie des outils proposés sur le marché européen sont des outils proposés par des entreprises américaines.
Or, le transfert de données européennes vers les Etats-Unis relève du casse-tête pour les entreprises depuis l’invalidation du Safe Harbor et du Privacy Shield.
Le défi actuel : Transférer des données personnelles vers les États-Unis
En 2020, la Cour de justice de l’Union européenne a invalidé le « Privacy Shield », le mécanisme de transfert de données entre l’Europe et les États-Unis.
En effet, la Cour de justice a estimé que le droit américain permet aux autorité publiques américaines d’accéder aux données personnelles transférées de l’Europe vers les Etats-Unis. Or, cette possibilité conduirait à violer les exigences de posées par le RGPD.
La Cour de justice avait déjà tenu le même raisonnement quelques années avant l’entrée en vigueur du RGPD lorsqu’elle avait invalidé le « Safe Harbor » en 2015. De la même manière, elle avait estimé que ce mécanisme transfert de données personnelles de l’Europe vers les Etats-Unis ne répondait pas aux exigences imposées par le droit européen en matière de protection des données personnelles.
Depuis ces décisions, la situation est complexe pour les entreprises de la tech dans un écosystème où une grande partie des outils sont fournis par des acteurs américains.
Un nouveau pas en avant : L’accord transatlantique sur les transferts de données
Depuis l’invalidation du Privacy Shield, les Etats-Unis et l’Europe travaillent de concert pour trouver un nouvel accord qui prévoie des garanties suffisantes pour la protection de la vie privée.
Le 25 mars 2022, après plusieurs années de négociations, la Commission européenne et les Etats-Unis ont annoncé avoir trouvé un nouvel accord : le « Trans-Atlantic Data Privacy Framework ».
Selon ce cadre, les données pourraient de nouveau circuler librement entre l’UE et les entreprises américaines qui adhèrent à cet accord. Cet accord prévoit de nouvelles règles et garanties renforcées pour limiter l’accès aux données par les autorités de renseignement américaines.
Les défis à venir
Le 6 juillet 2023, les membres de l’Union européenne ont adopté à la majorité le texte de l’accord transatlantique.
Désormais, il ne reste plus que la validation formelle du texte par la commission européenne pour que l’accord entre définitivement en vigueur dans les prochaines semaines.
Toutefois, l’organisation None of Your Business (NOYB) dont fait partie Max Schrems a d’ores et déjà annoncé dans une lettre ouverte publiée le 23 mai 2022 qu’elle pourrait faire subir le même sort au Trans-Atlantic Data Privacy Framework qu’aux accords Safe Habor et Privacy Shield en demandant à ce qu’ils soient déclaré illégal et annulé par la CJUE.
Bien que l’accord transatlantique sur les transferts de données soit une avancée majeure, il est clair que le débat sur la protection des données et la vie privée est loin d’être terminé.
Dans ce contexte, il est essentiel pour les entreprises de rester informées et prêtes à s’adapter aux changements dans ce paysage réglementaire complexe et en constante évolution.
Pour en savoir plus :
1- Vote du 6 juillet 2023 sur le projet de la décision d’adéquation EU-US
