Respecter les lois, un pilier essentiel pour vivre en société

Famille

Co-écrit par Amandine Castagne, Yassine Elqotbi et Daniel Frolov.

Sommaire
Confidentialité et motivationsConséquences de l’invalidationSolutions et bonnes pratiques

Confidentialité et motivations

À lire aussi : Éduquer une femme change la société en profondeur

Depuis 2018, le RGPD nourrit débats et interrogations. Pourtant, rares sont ceux qui saisissent la portée réelle de ce règlement européen. Pour beaucoup, il ne signifie guère plus que la bannière de consentement aux cookies qui interrompt chaque navigation. Mais la question du traitement, du stockage et du transfert des données personnelles va bien au-delà de cette fenêtre intrusive. C’est précisément là qu’intervient le Privacy Shield, un accord pivot entre Union européenne et États-Unis.

Vous pourriez aimer : Mettre fin à ses cours au CNED : démarches et conseils essentiels

Le RGPD impose des contraintes strictes sur la localisation des données à caractère personnel issues de l’UE. En clair, transférer ces informations hors des frontières européennes n’est permis que dans un cadre légal rigoureux et souvent difficile à mettre en place pour les entreprises. Pour répondre à ce défi, le Privacy Shield a été instauré en juillet 2016, prenant le relais du « Safe Harbor ». Ce mécanisme d’autocertification devait justement offrir un canal simplifié pour les sociétés américaines adhérant à ce dispositif.

L’affaire ne s’arrête pas là. Sous la pression de Maximillian Schrems, la Cour de justice de l’Union européenne (CJUE) s’est emparée du dossier et, le 16 juillet 2020, a brutalement mis fin au Privacy Shield. Pourquoi ? Du côté américain, les garanties n’étaient tout simplement pas jugées au niveau. L’accès quasi illimité des services gouvernementaux américains aux données stockées par des firmes privées a scellé le sort du dispositif.

Conséquences de l’invalidation

Par sa décision, la CJUE a affiché une ligne claire : la vie privée des citoyens européens prime sur les rouages commerciaux engrangés par le Privacy Shield.

Cette annulation répond à deux logiques :

  • Inciter les pays tiers à durcir leur réglementation en matière de surveillance pour s’aligner sur le RGPD.
  • Exiger des restrictions plus strictes sur les transferts opérés par les entreprises, pour que les données sensibles ne se retrouvent pas dans l’œil du cyclone législatif américain.

Depuis, tout transfert assis sur le Privacy Shield n’est plus conforme à la législation. Les organisations doivent s’orienter vers d’autres dispositifs, tout en gardant à l’esprit l’absence de délai de transition prévu par la CJUE. Les sanctions, elles, tombent : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global.

Les principaux acteurs du numérique l’affichent : leur inquiétude est palpable. Facebook, par la voix de Yvonne Cunnane, a évoqué la possibilité d’un arrêt de ses services Facebook et Instagram à plus de 400 millions d’Européens. Plus près de l’actualité en France, l’hébergement des données de Doctolib sur AWS et du Health Data Hub sur Microsoft Azure a aussi suscité de vifs débats. Le Conseil d’État a fini par valider ces collaborations, tout en appelant à davantage de garanties côté sécurité.

La protection des données personnelles s’en trouve renforcée, mais il serait naïf de croire que seuls les textes de loi sont concernés. Des enjeux économiques majeurs entrent aussi en jeu.

Wilbur Ross, ancien secrétaire au Commerce américain, n’a pas caché ses craintes pour les échanges entre l’Europe et les États-Unis, estimés à 7 100 milliards de dollars. Côté entreprises, plus de 5 000 sociétés, pour la plupart des PME, avaient investi temps et argent dans le Privacy Shield pour garantir leur développement international. Sa suppression leur impose désormais des démarches juridiques plus lourdes et coûteuses, parfois hors de leur portée.

En 2018 déjà, le numérique entre l’UE et les États-Unis représentait 295 milliards de dollars, et la dynamique se poursuit. Les secteurs du transport, de la santé et tous ceux qui recourent au traitement de données sont aussi concernés.

Le sujet ne se limite pas aux États-Unis. Depuis fin 2020, la Commission irlandaise examinait les pratiques de TikTok, suspecté d’exporter des données d’Européens vers la Chine sans conformité avec le RGPD. Les entreprises, qu’elles le veuillent ou non, doivent revoir urgemment leurs pratiques.

Pour mieux naviguer dans ce labyrinthe réglementaire, le Comité européen de la protection des données (EDPB) a publié dans ses textes 01/2020 et 02/2020 des recommandations opérationnelles. Voici, synthétisés, les axes majeurs à suivre pour se conformer au RGPD :

Solutions et bonnes pratiques

Quelques démarches structurantes s’imposent à toute organisation souhaitant sécuriser ses transferts de données hors UE :

  1. Cartographier tous les transferts de données : il s’agit d’identifier précisément vers quels pays et acteurs sont transmis les flux, en interne comme vis-à-vis des sous-traitants.
    • Analyse et traçabilité individuelle : chaque opération de transfert doit être détaillée et documentée.
    • Limiter la portée des données transmises : appliquer le principe de minimisation pour que seules les informations nécessaires changent de mains.
  1. Identifier les dispositifs de transfert utilisés :
    • Si le pays tiers bénéficie de la reconnaissance de la Commission européenne, aucune mesure supplémentaire n’est demandée.
    • En l’absence d’un niveau de protection jugé suffisant, pour des flux récurrents, il faut se tourner vers les mécanismes proposés par l’article 46 du RGPD, tout en préparant des mesures complémentaires au besoin.
    • Pour des transferts occasionnels, il existe aussi quelques cas prévus par l’article 49 du RGPD.
  1. Évaluer la conformité des dispositifs avec la législation locale : il est indispensable de vérifier si les lois du pays d’accueil risquent de fragiliser la protection des données transférées.
    • La recommandation 02/2020 du CEPD aide à apprécier le maintien des garanties européennes dans ce contexte.
    • Comparer ces obligations avec la législation internationale peut aussi s’avérer judicieux, notamment via les référentiels spécialisés.
    • L’analyse des mesures de sécurité appliquées doit être alignée avec les référentiels de la CNIL pour coller à la réalité du terrain.
  1. Mettre en œuvre des garanties supplémentaires si besoin : si rien ne permet l’équivalence, alors le transfert doit purement être évité.
    • Il faut tenir compte des différences entre États américains. Certaines lois, comme la CCPA en Californie, adoptent des lignes proches du RGPD et facilitent le travail de conformité.
  1. Contrôler l’efficacité de ces mesures (article 46 RGPD).
  2. Réévaluer régulièrement la situation : tout changement de la législation ou des pratiques doit conduire à un nouvel examen des mesures prises.
    • Conserver une trace précise de toutes les démarches menées, pour être en mesure de prouver la conformité en cas de contrôle.

L’annulation du Privacy Shield marque un véritable changement de cap pour la protection des données personnelles. Les entreprises des deux côtés de l’Atlantique, surtout les PME, affrontent désormais des procédures nouvelles, plus ardues, parfois difficilement supportables.

Des alternatives existent, mais elles se révèlent souvent complexes, coûteuses et limitées par la législation américaine. Alors qu’un nouveau dispositif international se fait attendre, et que la politique américaine ralentit ce chantier, l’incertitude reste entière pour les échanges numériques transatlantiques.

Pour se réapproprier leurs outils, les Européens lancent le projet Gaia-X : une infrastructure indépendante, bâtie autour des standards RGPD, censée rééquilibrer le rapport de force mondial. Combien de temps faudra-t-il pour que cette ambition se concrétise ? Le marché du numérique observe, mesure, attend la prochaine bascule.

Les plus lus

Recherche

Les articles phares

Mise en avant

Lost your password?