L’invalidation du Safe Harbor, puis du Privacy Shield a sérieusement impacté les transferts transatlantiques de données personnelles. Elle a fait tomber des milliers d’entreprises américaines et européennes dans une incertitude. Une première solution à ce problème vient d’apparaître. Cependant, elle devra d’abord passer différentes étapes avant d’être effectivement adoptée en Europe.
Le président américain Joe Biden vient d’adopter un décret exécutif relatif aux transits d’informations personnelles entre l’Europe et les États-Unis. Signé le 7 octobre dernier, ce texte marque l’aboutissement de discussions dirigées depuis de longs mois avec l’Union européenne (UE). Il comblera le vide juridique à laquelle sont aujourd’hui confrontées des milliers de sociétés des deux côtés de l’Atlantique.
Ce problème touche également de nombreux consultants indépendants dans le secteur de l’ IT . Des professionnels qui peuvent en effet chercher des mission freelance informatique auprès d’organisations basées aux États-Unis. Pour en trouver, ils disposent de plusieurs options : prospecter directement auprès de l’entreprise convoitée, visiter des plateformes spécialisées, etc.
La ratification du texte par Bruxelles interviendra au plus tôt en 2023
Ce décret vient concrètement confirmer l’accord de principe conclu avec Bruxelles, visant à remplacer le Privacy Shield . Réglementant les transferts transatlantiques de données, ce dernier avait été annulé par la Cour de Justice de l’UE en 2020. Cette institution avait déjà pris la même décision en 2015 avec le Safe Harbor , son prédécesseur. Selon elle, la protection des citoyens européens était insuffisante quand leurs informations personnelles étaient transmises sur des serveurs d’entreprises américaines. Cette méfiance découlait principalement du fait que les États-Unis menaient des opérations de surveillance.
Après la prise du décret exécutif par Joe Biden, Bruxelles examinera l’accord en devenir sous peu. L’Exécutif européen établira par écrit une décision d’adéquation . Ce mécanisme est prévu par le Règlement général sur la protection des données (RGPD) en son article 45. Cette décision sera ensuite analysée par les États-membres et le Comité européen de protection des données (CEPD). Même si ceux-ci se prononcent contre le texte, la Commission européenne dispose du pouvoir de le publier .
Au départ, cette publication était annoncée pour cet automne. Cependant, elle sera à l’évidence reportée à l’été de l’année prochaine. Les entreprises pourront alors invoquer cet accord en cas de différend sur les échanges d’informations entre l’Europe et les États-Unis .
D’aucuns témoignent d’une méfiance envers le projet d’accord
Le décret de Joe Biden pose un nouveau cadre de confidentialité des informations de part et d’autre de l’Atlantique. Il résoudra la remise en question de la légalité des activités des sociétés, surtout celle des leaders d’Internet comme :
- Amazon ;
- Facebook ;
- Google.
Pour ces multinationales, l’échange, le traitement et l’exploitation des informations entre l’Europe et les États-Unis détiennent une importance capitale.
L’accord en préparation instaure donc des remparts afin d’assurer le respect des informations personnelles des citoyens européens. Il crée par ailleurs une nouvelle « Cour d’examen de la protection des données ». Cette institution sera mise sous l’autorité du ministère américain de la Justice. Les citoyens européens pensant avoir subi un préjudice peuvent la saisir. La procédure se décompose en deux phases :
- La première est déléguée à un agent dépendant du directeur du renseignement national ;
- La seconde est confiée à la cour proprement dite.
Maintenant, il reste à voir si les contestations dont l’accord fait l’objet se dissiperont. Certains, tels que le président du conseil d’administration d’OVHCloud suspectent en effet un dessous inavoué dans son élaboration. Beaucoup soupçonnent qu’Ursula von der Leyen, la présidente de l’Exécutif bruxellois ait échangé les données européennes contre du gaz américain .