[Tribune] Même s'il met fin à plus de deux ans de turbulences, le décret signé en octobre par Joe Biden, sur les transferts de données personnelles entre les Etats-Unis et l’Union européenne, est loin d'être la solution idéale.
Le président américain Joe Biden a signé en octobre dernier un décret qui a lancé un processus de mise en place d’un nouveau cadre concernant les transferts de données personnelles entre les Etats-Unis et l’Union européenne. En effet, depuis l’invalidation du Privacy Shield en 2020, plus aucune base légale n’existe pour encadrer l’exportation des données des utilisateurs européens vers les États-Unis. Néanmoins, même avec ce nouveau décret, les conditions ont trop changé pour revenir au statu quo d'avant Schrems II.
En effet, depuis Schrems II, les autorités de protection des données de l'UE se sont intéressées aux entreprises qui utilisent des solutions analytiques issues des big tech américaines pour envoyer les données personnelles de leurs clients à l'étranger. Google Analytics, l'un des outils d'analyse de sites web les plus populaires au monde, a notamment été interdit dans l'UE par les autorités de protection des données de France, d'Autriche, d'Italie et du Danemark. Après Schrems II, le «retour de bâton» juridique a semé le chaos et l’incertitude chez les entreprises qui utilisaient ces solutions analytiques, d’où l’intérêt de poser un nouveau cadre.
Une nouvelle solution bancale
Mais ce décret est-il la solution idéale ? Il introduit, entre autres, une série de garanties et d'exigences supplémentaires pour limiter l'accès aux données des citoyens européens par les services de surveillance américains, et notamment un système de recours pour traiter les plaintes. L'ampleur et la portée des changements introduits par le décret pour protéger les données des citoyens européens sont peut-être sans précédent, mais la solution est imparfaite.
L’ONG autrichienne NOYB (None Of Your Business), responsable du démantèlement de deux précédents accords de transfert de données, a réalisé une première évaluation du document. Tout d’abord, le décret n'est pas une loi et peut être facilement annulé par un autre décret : la faiblesse de cette construction juridique ne satisfera probablement pas la CJUE, selon NOYB. Il faut aussi noter que, du point de vue des États-Unis, les Européens n'ont aucun droit à la vie privée ; le quatrième amendement ne l’accorde qu'aux citoyens américains. Tous les citoyens non américains peuvent donc facilement devenir la cible d'une surveillance.
Par ailleurs, l’autorité de protection des données de l'État allemand du Bade-Wurtemberg a elle aussi relevé des lacunes importantes dans ce décret : en plus de sa faiblesse juridique, elle relève que la relation entre le décret et les autres réglementations américaines existantes, telles que le Cloud Act, n'est pas claire, et qu’en plus de cela, il autorise toujours explicitement la surveillance de masse.
Les organisations américaines opérant dans l'UE ne seront pas liées par le RGPD. Selon le décret, elles n'auront pas besoin d'une base juridique pour la collecte de données et ne devront fournir qu'un mécanisme d'exclusion pour ceux qui ne veulent pas partager les leurs. Les entreprises de l'UE qui doivent se conformer au RGPD seront donc sérieusement désavantagées.
Faire face à des temps incertains
Depuis l'arrêt Schrems II, qui a effectivement interdit les transferts de données entre l'UE et les États-Unis, de nombreuses organisations européennes ont mis à jour leurs technologies et leurs méthodes pour naviguer dans le nouveau paysage juridique. Plusieurs recours ont été pris, comme la limitation des transferts et l'anonymisation des données, car les technologies commerciales américaines reposent en grande partie sur l'identification des utilisateurs et les transferts de données. La limitation des transferts ou la suppression des informations personnelles des données permet de surmonter ce problème, mais elle a un prix. Par exemple, lorsque Google Analytics est configuré pour répondre aux normes du RGPD, il perd la plupart de ses capacités.
Il est aussi possible de mettre à jour la pile technologique avec des alternatives européennes. Schrems II a créé une ouverture sur le marché pour les entreprises de l'UE qui proposent des logiciels commerciaux et marketing avec un hébergement local dans l'UE. Ces alternatives permettent aux entreprises de devenir complètement indépendantes de l'épreuve du transfert de données.
Pas de retour en arrière possible
Le nouveau cadre mettra fin à plus de deux ans de turbulences, mais il ne permettra pas de remonter le temps. Il est évident que Schrems II a changé de manière irréversible la façon dont les entreprises et les législateurs abordent les transferts de données et la vie privée des utilisateurs.
C'est le cas du paysage juridique notamment : la loi sur le service numérique et la loi sur le marché numérique de l'UE remodèlent les relations entre l'Europe et les grandes entreprises technologiques américaines. Le règlement Vie privée et communications électroniques, toujours en cours d'élaboration, précisera davantage les règles de collecte et de traitement des données dans le monde numérique.
Par ailleurs, les secteurs du marketing et de la vie privée sont en profond changement. Ceux-ci dépendent fortement des transferts et du traitement des données personnelles. Leurs deux mécanismes clés, le cadre de consentement TCF2 de l'IAB et le système d'enchères en temps réel, sont désormais la cible des autorités de protection des données et des ONG juridiques. L'issue de ces enquêtes remodèlera la manière dont le secteur fonctionne dans l'UE.
Les technologies alternatives ayant prouvé leur qualité, de nombreuses organisations ne reviendront pas aux solutions antérieures à Schrems II, même lorsque le nouveau cadre de transfert sera en place. En outre, nous avons trop progressé, tant sur le plan juridique que sur le plan mental, pour revenir simplement à la situation antérieure. Les entreprises adoptent une nouvelle approche, plus respectueuse de la vie privée, et c'est la meilleure façon d'aller de l'avant.