Le Data Privacy Shield entre l’UE et les États-Unis est invalidé : ce que cela signifie pour vous

Le 16 juillet 2020, la Commission européenne (CE) a invalidé le Data privacy shield (« bouclier de protection des données », ou DPS). Ce mécanisme permettait le transfert de données européennes vers les États-Unis. Il était destiné à conférer une protection supplémentaire pour la vie privée et à limiter la surveillance américaine.

De plus, un Médiateur chargé de la protection des données avait été désigné. Il devait veiller à ce que les garanties de protection de la vie privée ne soient pas violées. Il s’est avéré par la suite que même s’il lui incombait de faire respecter les garanties de protection de la vie privée, il n’avait pas le pouvoir de le faire dans le système américain. De ce fait, il était inutile.

Avant le DPS, il existait un autre dispositif qui permettait le transfert des données de l’UE, appelé « sphère de sécurité » (safe harbor, lien en anglais). Mais l’action en justice intentée par Max Schrems et le commissaire irlandais à la Protection des Données a amené la Cour de justice de l’UE (CJUE) à s’interroger sur l’adéquation et la validité de l’accord du Safe Harbor, ainsi que sur le rôle du Data privacy shield. Le RGPD (lien en anglais) interdit les transferts de données provenant de l’UE. Toutefois, le Safe Harbour et le DPS servaient de compromis pour maintenir les opérations commerciales. Plus de 5 000 entreprises américaines dépendent du commerce transatlantique des données.

Pourquoi la Cour a-t-elle invalidé le Data privacy shield ?

La CJUE a découvert que les États-Unis violaient les normes de protection de la vie privée fixées par l’UE. En conséquence, tous les transferts de données de l’UE vers des entreprises non européennes ont été suspendus. Désormais, ils ne peuvent avoir lieu que si des garanties et des mesures appropriées ont été mises en place. Ces garanties sont appelées clauses contractuelles type (standard contractual clauses). Les entreprises doivent maintenant vérifier au cas par cas si le pays de destination a mis en place des normes et des mesures adéquates en matière de protection de la vie privée. Lorsqu’un pays ne respecte pas les normes de protection de la vie privée fixées par l’UE, tous les transferts de données doivent être suspendus.

Dans l’ensemble, il s’agit d’une petite victoire pour les résidents européens et les défenseurs de la vie privée. Cela signifie que vos données resteront sur les serveurs européens, à moins que le gouvernement américain n’introduise des lois plus strictes en matière de protection de la vie privée. À qui devons-nous une telle victoire ? À Max Schrems, un étudiant en droit devenu militant pour la protection de la vie privée. Max a intenté un procès à Facebook Ireland & Google. Il voulait ainis remettre en cause la façon dont ils traitent les données des utilisateurs et obligent les consommateurs à accepter leurs politiques de collecte de données. C’est la décision rendue pour la seconde affaire (Schrems II) qui a poussé la CJUE à invalider le Data privacy shield.

Quelle peut-être la suite donnée à cette affaire ?

Personne ne le sait avec certitude. Mais il faut que les États-Unis adoptent enfin une réglementation plus stricte en matière de protection de la vie privée. Malgré les révélations de Snowden, la surveillance de masse et la collecte de données sont toujours actives. Sept ans ont passé mais peu de choses ont changé. L’invalidation du Data privacy shield devrait sonner l’alerte pour les États-Unis. Facebook et d’autres géants de la Big Tech continuent de dissimuler leurs pratiques en matière de collecte de données. Les États-Unis doivent prendre exemple sur l’UE et adopter des réglementations plus strictes en matière de protection de la vie privée.

L’UE va probablement créer un troisième mécanisme, similaire au Safe Harbour et au Data privacy shield. Ainsi, elle pourra trouver un terrain d’entente avec les États-Unis, dans l’espoir que ces derniers adoptent des lois plus strictes en matière de protection de la vie privée. Les mises à jour sur ce sujet sont lentes, car cela prend du temps et nécessite beaucoup de négociations. Nous suivons ce sujet de près et vous tiendrons informés au fur et à mesure de ses nouveaux développements.

La vie privée est un droit, pas une fonctionnalité

Mailfence est une solution de messagerie électronique sécurisée et privée, basée en Europe. Chez Mailfence, nous croyons fermement que « la vie privée est un droit, pas une fonctionnalité ». Nous faisons tout ce qui est en notre pouvoir pour protéger et promouvoir la confidentialité des données. C’est pourquoi nous soutenons le RGPD, l’ePrivacy et d’autres efforts législatifs dans ce sens. Nous soutenons également des organisations comme l’EDRI et l’EFF dans leur lutte pour la protection des données.

Suivez-nous sur Twitter/Reddit et tenez-vous constamment informé.

– L’Équipe Mailfence

Vous aimerez aussi...