Le RGPD (Règlement Général sur la Protection des Données) entre en vigueur à travers toute l’Union Européenne le 25 mai 2018. De quoi s’agit-il ?
Notre « identité numérique » est un bien précieux. Elle est matérialisée par toutes les informations stockées auxquelles nous sommes nommément liés : les articles que nous avons « likés », les groupes de discussion suivis, les produits consultés ou commandés, les émissions télé regardées, nos mails, nos commentaires, nos comptes bancaires et autres, etc. Nous sommes liés à de très nombreuses informations, de plus en plus nombreuses.
Le législateur européen a établi le RGPD pour protéger nos données. Je vous invite à lire le règlement complet qui est très clair.
Quelques extraits : le RGPD définit « les principes et les règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant … ». Il vise à assurer « … le libre flux des données à caractère personnel entre les États membres » et le droit de chaque citoyen à accéder « aux données à caractère personnel qui ont été collectées à son sujet » et à pouvoir « faire rectifier des données à caractère personnel les concernant, et disposer d’un « droit à l’oubli » ». De plus, « toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle ».
Tous les pays membres de l’UE appliquent le RGPD, et c’est ainsi que nos données personnelles peuvent librement circuler et être stockées dans le territoire de l’UE.
Mais quid hors de l’Union Européenne et plus précisément aux Etats-Unis ?
2015 🙁
Il était une fois Maximillian Schrems, un étudiant en droit autrichien obstiné et persévérant, qui se sentait concerné par la manière dont ses données personnelles étaient traitées par Facebook.
Réalisant que l’accord Safe Harbor passé entre les États-Unis (EU) et l’Union Européenne (UE) ne protégeait pas nos données personnelles stockées aux États-Unis, Maximillian Schrems obtenait en 2015 rien moins que l’invalidation de cet accord par la Cour de justice de l’Union Européenne, au motif que « les États-Unis n’offrent pas un niveau de protection adéquat aux données personnelles transférées ». Pour situer l’ampleur de cette décision, rappelons que Safe Harbor a regroupé jusque 4000 entreprises américaines, dont Microsoft, Google, Amazon, Facebook, General Motors, etc.
Safe Harbor annulé, quid de nos données personnelles stockées aux États-Unis ?
La Commission Européenne et le gouvernement des États-Unis réagissent et entament des discussions.
2016 🙂
Après approbation de la plupart des États membres de l’UE, et le 12 juillet 2016 la Commission adopte un nouvel accord avec les États-Unis désormais nommé Privacy Shield.
Il se compose d’une série d’engagements de la part du gouvernement fédéral des États-Unis et une décision de la Commission européenne. La Commission stipule que « les garanties pour le transfert des données sur la base de la nouvelle protection des données UE-EU protègent selon les normes de protection des données dans l’UE ». Privacy Shield garantit donc aux citoyens européens que leurs données stockées aux États-Unis bénéficient d’une protection identique à celle dont ils bénéficient en Europe.
Tout est bien qui finit bien ? Eh bien non !
2020 🙁
Le Privacy Shield est invalidé par la même Cour de justice de l’Union Européenne le 16 juillet 2020 (arrêt de la cour) pour les mêmes motifs, suite à une nouvelle plainte de Maximillian Schrems.
En résumé, le Privacy Shield facilitait les échanges outre-Atlantique en stipulant que la législation américaine offrait les mêmes garanties que le droit européen, mais… la Cour de justice de l’Union Européenne n’est pas de cet avis, notamment eu égard au fait que l’administration américaine peut librement disposer de nos données et de l’absence de recours possible.
Depuis cette date il n’existe plus d’accord entre les États-Unis et l’Union Européenne à ce sujet. Cependant, nous restons soumis au RGPD qui impose des règles contraignantes pour le transfert de nos données personnelles vers des pays jugés moins protecteurs que l’Union Européenne.
Quid de nos données gérées par des sociétés établies aux Etats-Unis tels que les champions de l’hébergement que sont les GAFAM ?
La Commission Européenne et le gouvernement des États-Unis réagissent et entament des discussions.
2022 ?
Une nouvelle mouture Privacy Shield 2.0 devrait bientôt arriver, visant à mettre fin à l’insécurité juridique qui pèse aujourd’hui sur les entreprises.
Selon cet article du 25 mars 2022 de l’Usine Digitale « le Président des Etats-Unis Joe Biden et la Présidente de la Commission européenne Ursula von der Leyen ont annoncé être parvenus à un accord de principe sur un nouveau cadre pour le transfert de données transatlantique. « Cela permettra d’avoir des flux de données prévisibles et fiables, tout en assurant la sécurité, le droit à la vie privé et la protection des données », déclare Ursula von der Leyen sur Twitter ». Voir aussi cet article de Droit & technologies.
Pour l’instant, les termes de l’accord n’ont pas été divulgués, et cela suscite de l’inquiétude : cet accord est-il sincère et solide, ou allons-nous rejouer la partie ?
La clé étant de savoir si les Etats-Unis ont reculé sur le fait de s’octroyer le droit d’accéder en tout lieu aux données gérées par une entreprise de droit américain et cela sans avoir à le faire savoir aux intéressés.
Du coté de Maximillian Schrems, on est plutôt sceptique : « De ce qu’on entend, nous pourrions jouer au même jeu une troisième fois maintenant. L’accord était apparemment un symbole voulu par Ursula von der Leyen, mais il n’a pas le soutien des experts à Bruxelles car les Etats-Unis n’ont pas bougé. »
A suivre !
Pour aller plus loin
Nous avions rédigé en février 2021 un premier article à propos du Privacy Shield. Il donne plus de détails sur ce feuilleton et contient de nombreuses sources.
De son côté, J2S a choisi d’héberger Simple Workspace chez OVHCloud, ce qui nous permet de garantir à nos clients que leurs données sont physiquement stockées en France par une société de droit français.
De fait, ceux qui sont hébergés par des sociétés assujetties au droit européen et assurant un stockage en Europe échappent aux incertitudes nées des différences juridiques entre pays.
Prenez contact avec nous : nous serons ravis d’échanger.
David Lantier
Business Developer