Le Privacy Shield rendu caduc, une opportunité pour les entreprises digitales européennes ?

Le 16 juillet 2020, la CJUE a invalidé le Privacy Shield, protocole signé entre la Commission Européenne et les USA permettant aux entreprises européennes utilisant des fournisseurs américains traitant des données personnelles sur leur sol, de respecter les exigences du RGPD. La Cour indique désormais que les données traitées sur le territoire américain ne bénéficient pas du niveau de protection exigé. Une occasion pour les entreprises digitales européennes d'aider à cette remise en conformité.

Le Privacy Shield, un protocole sujet à controverse

Dans la lignée du Safe Harbor, le protocole du Privacy Shield proposait un accord entre les Etats-Unis et l’Europe pour assurer la protection des données personnelles hébergées sur le continent américain ou qui y transitaient. Une protection jugée insuffisante par la CJUE, qui a estimé que les données personnelles gérées sous ces termes ne bénéficiaient pas de la protection venant des exigences du RGPD (Règlement Général pour la Protection des Données). Attention, la suspension de ce protocole ne veut pas dire que les échanges de données entre les États-Unis et l’UE vont subitement s'interrompre. La décision ne concerne que les données personnelles de citoyens européens, et ne s'applique pas aux transferts « nécessaires » vers les Etats-Unis, comme l'envoi d'un e-mail ou la réservation d'un hôtel.  

En effet, les données hébergées directement par une société aux Etats-Unis, ou que l’entreprise y envoie via une société tierce, peuvent être facilement accessible par l’Etat Américain ; la Cour affirme ici que ceci est incompatible avec le niveau de protection des données personnelles telle que l’entend l’Europe aujourd’hui.

Une prise de risque très concrète et chiffrable

Les entreprises qui ne respecteraient pas les prérequis pour la protection des données encourent une amende dont le montant peut atteindre 20 millions d’euros ou 4% du chiffre d’affaire de l’entreprise, le montant le plus élevé étant celui qui fait référence. Les sommes peuvent donc être très conséquentes !

La responsabilité personnelle des dirigeants et du DPO (Data Protection Officer) peut être engagée si le non-respect du RGPD est constaté et que l’on peut prouver que cela se savait. Or, depuis cette décision, plus aucune société européenne ne peut se prévaloir du Privacy Shield pour assurer sa conformité avec le RGPD.  

D’autres alternatives existent en matière de protection des données. Comme les SCC (« Standard Contractual Clauses ») et les BCR (règles d’entreprise contraignantes), qui sont des réglementations spécifiques pouvant être signées par les entreprises pour exporter des données personnelles hors de l'Union européenne, mais uniquement si les lois du pays de destination sont compatibles avec la réglementation européenne, ce qui paraît improbable en ce qui concerne les Etats-Unis quand on lit les motivations de la Cour de justice Européenne.

La CNIL travaille sur le sujet et, certainement, une solution juridique sera trouvée dans les prochaines semaines, cependant la suspension du Privacy Shield indique clairement la route aux entreprises européennes. Elle leur dit que si elle souhaite une bonne protection des données personnelles dont elles ont la charge, il ne faut pas laisser ces données quitter le territoire européen.

Vendredi dernier (24 juillet 2020) le Comité de protection des données de l’Union Européenne a ordonné que cessent immédiatement les transferts de données entre l’UE et les Etats Unis quand ceux-ci étaient gérés par le « Privacy Shield » ou plus exactement il a donné sa position à la suite de la décision de la CJUE : "Les transferts effectués sur la base de ce cadre juridique sont illégaux". Cela a le mérite de la clarté et entraine dans le même temps des difficultés pour les entreprises concernées.

 Des solutions déjà disponibles

Selon la présidente de la Business Software Alliance (le lobby européen des éditeurs de logiciels), Victoria Espinel, trouver des solutions alternatives pour changer leurs pratiques suite à cette décision est un défi pour « plus de 5.300 entreprises, dont 70 % de PME, à travers une variété de secteurs, à un moment où la faculté d'envoyer des données à l'étranger est cruciale pour la reprise économique suite au Covid-19 ».

Les entreprises européennes dont les données sont hébergées ou transitent par les Etats-Unis peuvent opter pour des fournisseurs de services Européen, dont le siège est situé sur ce même continent et qui n’utilisent pas de fournisseurs de cloud américains. Certes ces fournisseurs sont parfois moins connus, mais ils sont tout aussi efficaces, et surtout, de facto soumis à une juridiction européenne. Y avoir recours garantit la protection des données personnelles selon les directives du RGPD.

Une volonté européenne de relancer le Vieux continent et protéger ses citoyens ?

Cette décision de la Cour, qui va contre la position de la Commission est notable et mérite d’être saluée. La faiblesse de l’Union Européenne est fréquemment mise en avant, en l’occurrence la Cour montre une volonté ferme et rappelle que l’Europe n’a pas la même vision de la protection des données que les USA et ce de façon claire et directe. Et de rappeler aux géants, comme aux spécialistes américains que, si incontournables soient-ils dans le paysage digital contemporain, ils se doivent de maintenir les données personnelles en Europe.

Cette décision devrait créer une onde de choc qui pousserait les entreprises européennes à utiliser des prestataires européens pour leurs services de cloud, pour leurs gestions de flux et d’une manière générale pour leurs applications informatiques et digitales.

Il existe aujourd’hui des acteurs locaux crédibles, efficaces et assurant des services de qualité. Les utiliser permettrait aux entreprises européennes d’être en conformité avec le RGPD et également de commencer à donner corps à un grand marché européen qui pourra faire naitre, sur notre continent, de nouveaux leaders mondiaux.