Privacy Shield : faut-il vraiment sortir de l’ambiguïté actuelle ?
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
![Image [Atos / Eviden :] Airbus jette (à nouveau) l’éponge](https://incyber.org//wp-content/uploads/2023/09/incyber-news-cybersecurity-money-bank-885x690.jpg)
Le 16 juillet 2020, dans son arrêt “Schrems 2”, la Cour de justice de l’Union européenne invalidait le Privacy Shield, c’est-à-dire la décision d’adéquation permettant de garantir aux données personnelles de citoyens européens exportées aux États-Unis un niveau de protection équivalent à celui existant en Europe. Depuis lors, faute de “bouclier” collectif, les entreprises concernées se voient obligées de recourir au dispositif des “clauses contractuelles types” négociées au cas par cas.
Or, le 25 mars dernier, Joe Biden et Ursula von der Leyen annonçaient, dans une indifférence quasi générale, avoir trouvé un accord de principe pour un nouveau dispositif d’adéquation. Si la concomitance de cette annonce avec les discussions sur l’indépendance énergétique européenne a déjà de quoi étonner, l’absence de détails sur les modalités pratiques de cet accord incite à la plus grande prudence. De fait, les propositions américaines ne seraient pour l’instant guère satisfaisantes. « Les États-Unis n’ont pas bougé », souligne Max Schrems, le tombeur du Privacy Shield.
Un tel accord ne répondra par ailleurs qu’aux défis posés par le Cloud Act qui porte sur l’accès par les autorités judiciaires américaines aux données stockées par des prestataires de services électroniques dans le cadre de procédures pénales, que ces données soient stockées sur le territoire américain ou à l’étranger. La question des interceptions extra-judiciaires américaines, qui concernent tout type de données (non seulement les données personnelles mais aussi celles des entreprises) menées en vertu de la section 702 du FISA autorisant les services de renseignement américains à espionner tout citoyen non américain à l’extérieur des États-Unis, reste intacte. Idem pour l’Executive order 12 333, en vertu duquel les agences de renseignement américaines peuvent procéder, de façon secrète, à toutes les interceptions et exploiter les vulnérabilités des infrastructures de télécommunication. Rappelons-nous le programme PRISM révélé par Edward Snowden en 2013 !
Pour paraphraser le Cardinal de Retz, nous risquons donc fort de sortir de l’ambiguïté créée par l’invalidation du Privacy Shield à notre propre détriment. À supposer qu’un nouvel accord soit trouvé et validé par le Contrôleur européen des données, celui-ci ne répondra qu’à une partie du problème, celui des données personnelles. Pire, en facilitant l’exportation des données personnelles de citoyens européens vers les États-Unis, il sacrifiera l’objectif de souveraineté technologique européenne à celui de la protection, très théorique, de nos données personnelles dans les grands clouds américains. Est-ce bien raisonnable ? N’était-ce pas au contraire l’opportunité de développer des offres de cloud computing européennes ?
Général (2S) Marc Watin-Augouard, Fondateur du FIC
Guillaume Tissier, Associé, Avisa Partners