Transférer des données aux États-Unis
En 2015, la Cour de Justice de l’Union Européenne invalide le Safe Harbor qui permettait le transfert de données personnelles de l’Espace Économique Européen vers les États-Unis. Le Privacy Shield fut mis en place quelques temps plus tard, mais…
Au début, le Safe Harbor
Le Safe Harbor permettait de transférer des données personnelles vers les États-Unis depuis l’Espace Économique Européen du moment que les entreprises destinataires certifiaient respecter la législation de l’EEE.
Cette certification était obtenue par un contrôle du respect des principes du Safe Harbor, contrôle pouvant être effectué par l’entreprise elle-même.
Mais, en 2015, surgit alors Maximilliam Schrems qui obtint alors son invalidation, les États-Unis n’offrant pas un niveau de protection suffisant.
Dès l’année suivante, la Commission Européenne et les États-Unis travaillent main dans la main pour créer le Privacy Shield.
La courte vie du Privacy Shield
Début 2016, le Privacy Shield naquit. Tout comme son prédécesseur, il repose sur un mécanisme d’auto-certification des entreprises américaines et un engagement du gouvernement américain à retreindre l’accès aux données aux autorités.
Dès lors qu’une entreprise était certifiée, les organismes européens pouvaient lui transférer des données personnelles.
Mais, surgit de nouveau Maximilliam Schrems qui obtint alors l’invalidation du Privacy Shield, les États-Unis n’offrant toujours pas un niveau de protection suffisant. En effet, les différents programmes de surveillance américains permettent aux autorités de se servir dans toutes les données des entreprises américaines, et ce sans distinction et sans préavis.
Le glas du Privacy Shield sonna alors le 16 juillet 2020.
Les Clauses Contractuelles Types
Les Clauses Contractuelles Types n’ont, quant à elles, pas été annulées. Elles restent donc des outils valables pour encadrer les transferts de données personnelles en dehors de l’Union Européenne, États-Unis compris.
Cependant, la Cour de Justice de l’Union Européenne indique que l’exportateur et l’importateur de données doivent évaluer si les lois du pays importateur respectent le niveau de protection attendu par l’Union Européenne.
Le Privacy Shield ayant été annulé à cause d’une protection des données des résidents européens trop faible, comment les clauses contractuelles entre entités européennes et américaines peuvent être valides ?
Utiliser des services américains
On pourrait alors se dire que, du moment que l’entreprise dont on utilise le service s’engage à stocker les données uniquement sur des serveurs situés en Europe, c’est bon. Les données restent bien en Europe et ne sont pas transférées de l’autre côté de l’Atlantique.
Présentée comme ça, cette solution a l’air séduisante, une sorte de compromis entre tout le monde. Mais c’est sans compter sur le Cloud Act.
En effet, le Cloud Act est une loi américaine, mise en place en 2018, qui permet aux autorités d’avoir accès aux données des entreprises américaines, peu importe où se situent les serveurs. Et ce, sans obligation d’informer les personnes.
Même en essayant de montrer de la bonne volonté sur le respect des données personnelles, les entreprises américaines sont toujours soumises à la loi de leur pays.
Utiliser des services américains semble donc être juridiquement instable et peu recommandable.
La meilleure solution est probablement de se tourner vers les entreprises européennes.