Aller au contenu principal
post thumb

Les entreprises du numérique face à l’annulation de l’UE-USA Privacy Shield

Par Raja Bensaoud, cofondatrice Digital Act

La globalisation des réseaux d'information à l'échelle mondiale et la digitalisation croissante de tous les secteurs ont entraîné un développement considérable de  l’échange transfrontalier de données personnelles et leur utilisation accrue, au sein d’espaces dématérialisés.

Dans ce contexte, le transfert des données personnelles de l'Union européenne vers les Etats-Unis fait l’objet d’une attention particulière de la part des autorités judiciaires de Bruxelles. Au niveau juridique, le règlement européen sur la protection des données (RGPD) prévoit plusieurs mécanismes pour régir le transfert de données vers des pays hors UE, parmi lesquels les décisions d’adéquation et l’accord Privacy Shield en faisait partie. 

Cet accord, qui encadre les flux de données personnelles entre l'Europe et les Etats-Unis, vient d’être invalidé, le 16 juillet 2020, par la Cour de justice de l'UE (CJUE). Cette même cour avait déjà démantelé, suite à une plainte de l'activiste autrichien Max Schrems, le Safe Harbor, accord UE-USA portant sur le même objet que le Privacy Shield. Cet accord, intervenu en 2016, et appelé aussi le bouclier de protection des données UE-Etats-Unis, était censé permettre une protection des données personnelles de citoyens européens (commerciales, de santé, RH, etc.) d’un niveau équivalent à ce que prévoit le RGPD.

L’UE et les Etats-Unis : Deux conceptions différentes de la protection des données

Alors que l’Europe prône une protection dite "omnibus" qui couvre tous les domaines et toutes les activités (avec le RGPD comme outil essentiel), le droit états-unien est dominé par une approche sectorielle. Aux Etats Unis, il n'y a pas une loi fédérale équivalente ou similaire au RGPD. Ces différences apparaissent nettement dans le réquisitoire établi par la Cour européenne à l’égard du système juridique américain en matière de protection de la vie privée, à l’occasion de son arrêt du 16 juillet dernier.

Les motivations des juges européens : Les outils de surveillance américains

La CJUE reproche au Privacy Shield l’absence de garde fous suffisants pour limiter l’accès des autorités américaines aux données traitées par les entreprises de ce pays et notamment celles figurant dans les communications électroniques. Des risques d’ingérences dans ces données existent ainsi, en raison de la réglementation interne américaine. La Cour constate aussi que l’accord n’offre pas des voies de recours effectifs aux citoyens européens concernés.

Quelle alternative pour les entreprises concernées ?

La décision de la Cour européenne touche en particulier les entreprises numériques : éditeurs de logiciels, fournisseurs de services cloud et toutes les entreprises dont les data center sont répartis à travers le monde. Cette décision ne signifie pas pour autant l’arrêt immédiat des transferts et du traitement des données personnelles des européens par des serveurs situés aux Etats-Unis. En effet, les entreprises pourront exporter des données personnelles hors UE à travers les SCC (Standard Contractual Clauses). Cette utilisation est toutefois conditionnée par la compatibilité de la loi du pays destinataire des données avec la réglementation européenne. Dans le cas contraire, les 5400 entreprises américaines qui utilisaient l’accord invalidé pour traiter les données de leurs clients ou utilisateurs européens s’exposeraient aux sanctions prévues par le RGPD : 20 millions d’euros ou 4% du chiffre d’affaires.

A notre avis, les multinationales concernées et les géants du net ne tarderont pas à utiliser ce mécanisme et à faire de leur conformité juridique un autre argument pour développer leur business transatlantique.

Transfert de données personnelles des citoyens marocains vers l’étranger

La législation marocaine, inspirée de la réglementation européenne, apporte des restrictions au transfert de données personnelles à l’étranger. Ce transfert ne peut ainsi être effectué que vers un pays figurant sur une liste établie par la CNDP. Pour les pays ne figurant pas sur cette liste, des conditions sont posées pour encadrer le transfert. Il ne peut ainsi avoir lieu que dans des cas très limités : nécessité liées à la sauvegarde de la vie de la personne, à l’intérêt public… Le transfert peut aussi être fondé sur des clauses contractuelles ou règles internes d’entreprise si elles garantissent une protection suffisante de la vie privée et des libertés et droits fondamentaux des citoyens marocains.

http://www.economie-entreprises.com/e-administration-priorite-en-voie- daffirmation/