Entre 2016 et 2020, le Privacy Shield réglementait le transfert de données personnelles depuis l’Union Européenne vers les États-Unis. En juillet 2020, il était invalidé par la Cour de Justice européenne : le texte du Privacy Shield a en effet été jugé insuffisant pour assurer la protection des données des entreprises en raison des risques que font peser les activités américaines de surveillance. Une situation difficilement tenable pour les organisations : depuis plus d’un an, celles qui souhaitent transférer des données depuis l’Union Européenne vers les États-Unis naviguent en eaux troubles… Explications de Théodore Christakis, membre du Centre d’Études sur la Sécurité Internationale et les Coopérations Européennes (CESICE), et professeur en droit international à l’Université Grenoble Alpes, spécialisé dans le numérique.
Quelles ont été les conséquences de l’invalidation du Privacy Shield ?
Théodore Christakis : Cet accord était utilisé par plus de 5 300 entreprises américaines et européennes pour transférer des données depuis l’Europe vers les États-Unis. Sans accord, un flou juridique persiste et la protection des entreprises européennes n’est pas garantie.
Les entreprises se sont tournées à défaut vers les « clauses contractuelles types », afin de poursuivre les transferts de données vers les États-Unis. En quoi consistent ces clauses ?
T. C. : La Commission européenne met à disposition des entreprises des contrats types, qui permettent de conditionner l’export de données vers des pays tiers au respect des conditions du RGPD (Règlement général sur la protection des données). Mais la CJUE a affirmé que ce mécanisme ne pouvait être utilisé que si les entreprises s’assuraient que le pays vers lequel étaient exportées les données offrait des protections équivalentes… ce qui n’est pas le cas des États-Unis. Les entreprises ont donc dû se plier à des mesures additionnelles pour pouvoir utiliser ce mécanisme, ce qui mobilise beaucoup de ressources (humaines, financières…) et engendre de grandes difficultés opérationnelles.
Est-ce suffisant pour assurer la protection des données aux États-Unis ?
T. C. : Selon la CJUE, les clauses sont valables mais elles restent trop faibles en matière de protection des données dans le cadre des activités de renseignements. En droit, il est impossible d’opposer un contrat à une loi. Or, aux États-Unis, la loi FISA (pour Foreign Intelligence Surveillance Act) donne la possibilité aux services de renseignement d’exiger l’accès aux données des entreprises basées sur son sol. Dans cette hypothèse, la société est alors obligée de se plier à la loi américaine, quelles que soient les protections qui auraient pu être définies par des clauses.
D’où la nécessité d’un nouvel accord…
T. C. : Trouver un successeur au Privacy Shield est d’une importance capitale, car les entreprises ont été prises en otage de cette situation. Il y a une énorme pression de la part des sociétés, américaines et européennes, pour obtenir une solution. Cet intérêt mutuel permet d’espérer que les négociations en cours aboutissent rapidement.
La CJUE a invalidé par deux fois des accords avec les États-Unis : le Safe Harbour en 2015, puis le Privacy Shield en 2020. La vision européenne – très protectrice des données – peut-elle être conciliée avec celle des États-Unis ?
T. C. : La Commission européenne se trouve dans une situation délicate. Elle ne peut pas prendre à nouveau le risque de voir un accord invalidé par la CJUE. Or, des réformes du droit américain sur le volet des renseignements vont être nécessaires pour répondre aux exigences de la CJUE. La Commission va donc avoir la lourde tâche de s’assurer que ces modifications seront effectives pour pouvoir réussir le test de la CJUE.
Biographie de Théodore Christakis
Theodore Christakis est un professeur de droit international et européen à l’université de Grenoble. Directeur de recherche au Cross-Border Data Forum, il dirige également la Chaire sur la régulation de l’intelligence artificielle au sein du MIAI (Multidisciplinary Institute on AI). En tant qu’expert international, il a conseillé de nombreux gouvernements et organisations, ainsi que des entreprises privées sur les questions de droit européen et international, de cybersécurité, d’intelligence artificielle ou de protection des données.
