La semaine dernière, Richard a publié un article intitulé « Petite réflexion sur les appels d’offres ». Quel rapport avec le RGPD et le Privacy Shield ?
Eh bien, j’ai trouvé que cet article mettait bien en évidence l’écart entre les « effets d’annonce » destinés à vendre, et à l’opposé ce qui relevait d’une attitude plus « responsable », visant à ne surtout rien annoncer qui ne puisse être raisonnablement tenu.
Cela m’a fait penser aux péripéties du Privacy Shield, un véritable roman pavé d’annonces rassurantes à propos d’accords « enfin trouvés », et qui dure pourtant depuis une dizaine d’années, comme un projet qui a bien du mal à démarrer…
Sommes-nous au bout de cette histoire ? Sans doute pas si l’on en croit le projet de décision du 14 février 2023 d’une commission du parlement européen.
En résumé : protection des données personnelles
L’Europe a adopté en 2016 le RGPD (Règlement Général sur la Protection des Données), qui régit la manière dont les états et les entreprises doivent s’engager à protéger nos données personnelles, notamment à l’heure du web. Ce règlement protège les citoyens européens, et je vous invite à le lire, il est clair et d’une lecture rapide.
En parallèle au travail d’élaboration du RGPD, la question transatlantique s’est posée avec d’autant plus d’acuité qu’au travers des GAFAM notamment, beaucoup de données européennes sont stockées aux États-Unis. Depuis 2016, les États-Unis et l’Europe ont élaboré plusieurs accords, le dernier en date étant le Privacy Shield 2.0.
Plusieurs accords, car chacun s’est vu annulé par la cours de justice de l’UE ; nous avons suivi ces péripéties avec deux articles en 2021 et en 2022. Voici les dernières annonces en date du 25 mars 2022 :
« Le Président des Etats-Unis Joe Biden et la Présidente de la Commission européenne Ursula von der Leyen ont annoncé être parvenus à un accord de principe sur un nouveau cadre pour le transfert de données transatlantique. »
« Cela permettra d’avoir des flux de données prévisibles et fiables, tout en assurant la sécurité, le droit à la vie privé et la protection des données », déclare Ursula von der Leyen sur Twitter.
Nous parlons ici des données personnelles collectées par des entreprises Européennes et stockées aux États-Unis. Le cas inverse, c’est-à-dire les données collectées par des entreprises Américaines, est … comment dire ? Efficace et simple.
En effet, les États-Unis ont acté en 2018 le Cloud Act, qui permet notamment aux instances de justice américaines de solliciter auprès des fournisseurs de services opérant aux États-Unis, les communications personnelles d’un individu, citoyen ou résident US, sans que celui-ci en soit informé, ni que son pays de résidence ne le soit, ni que le pays où sont stockées ces données ne le soit.
14 février 2023 … rejet ?
Pour rappel, l’Europe est organisée autour de 3 institutions : le Parlement (vote les lois et le budget de l’Europe), la Commission européenne (propose les textes de loi soumis au Parlement), le Conseil (réunit les ministres des États membres dans un domaine précis). Ces institutions fonctionnent sous l’égide des États membres qui restent des nations souveraines et indépendantes. France Info a publié un résumé intéressant à ce sujet.
Reprenons le fil des « annonces rassurantes » : le 14 février dernier, une commission du Parlement européen rejette un projet de décision estimant qu’il n’était pas conforme à la réglementation de l’UE en matière de RGPD.
Pour cette commission parlementaire, le cadre proposé pour la protection des données n’est pas entièrement conforme au règlement général sur la protection des données personnelles (RGPD) de l’UE, en particulier à la lumière de la politique américaine actuelle qui permettrait la collecte à grande échelle et sans mandat des données des utilisateurs à des fins de sécurité nationale.
Toujours selon la commission, un décret émis par l’administration Biden ne constitue pas une protection supplémentaire suffisante pour plusieurs raisons, notamment la mutabilité de la politique adoptée par décret elle peut simplement être annulée ou modifiée par le président à tout moment et l’insuffisance des garanties qu’il prévoit. Pour résumer :
La commission a déclaré que la loi nationale américaine est tout simplement incompatible avec le cadre du RGPD, et qu’aucun accord ne devrait être conclu tant que ces lois ne sont pas plus alignées (article LMI du 20 février 2023).
Toutefois, il ne s’agit que d’un « projet de proposition de résolution » visant à rejeter la recommandation de la Commission européenne, qui juge de son côté que la législation américaine offre désormais un niveau « adéquat » de protection des données personnelles des utilisateurs européens des services des entreprises américaines. Adéquat ?
On peut assez logiquement inférer que même si la Commission poursuit dans cette voie, cet accord prend le risque d’être invalidé comme l’ont été les deux tentatives précédentes (Safe Harbor en 2015, Privacy Shield en 2020). La question d’un « Schrems 3 » est déjà posée, comme le décrit cet article d’un cabinet d’avocats.
Aujourd’hui
Ces tentatives pour aboutir à une définition commune entre les États-Unis et l’Europe sur la manière d’encadrer l’usage des données personnelles par les entreprises et les états bute depuis presque 10 ans.
Tout cela pourrait sembler risible ou un peu hors sol, mais il s’agit bel et bien de texte légaux, qui prévoient de réelles sanctions en cas de non-respect de la loi, c’est-à-dire pour nous autres Européens, en cas de non-respect du RGPD.
Nous ne pouvons que suggérer d’être prudent, notamment en vérifiant très attentivement les clauses liées au stockage des données que vous gérez et que vous confiez (peut-être) à une entreprise externe.
Comment J2S gère les données personnelles de ses clients ?
De son côté, J2S est attentif au respect du RGPD dans son intégralité. Les données que vous confiez à J2S Simple Workspace bénéficient d’un hébergement sécurisé aussi bien sur le plan physique que sur le plan légal. Elles sont stockées physiquement en France par une société régie par le droit français.
David Lantier,
Business developer