• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Le transfert de données personnelles entre les États-Unis et l’Europe illégal : on fait quoi ?

Charles Cuvelliez et Jean-Jacques Quisquater (*)

Publié le 18 août 2020 à 10:10 - Mis à jour le 18 août 2020 à 14:16

La Cour de justice européenne a invalidé le Privacy Shield.

La Cour de justice européenne a invalidé le Privacy Shield.

Thierry Roge/Reuters

Le Quotidien Numérique

11 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Pourquoi Xavier Niel continue d’étendre son empire télécom dans le monde

  • 2

    Pourquoi l’industrie automobile française procède à une saignée sociale chez ses ingénieurs

  • 3

    Solaire et stockage de carburant : Aliko Dangote envisage un investissement de 1,7 milliard d’euros  en Gambie

  • 4

    La future plus grande centrale thermique du Burkina Faso obtient un soutien de 52 millions d'euros

  • 5

    Énergie : l'exécutif songe à s'attaquer au « tarif agent » des salariés d'EDF et Engie

  • 6

    ▶️ Les hélicoptères, l'atout très rentable d'Airbus : retrouvez l’émission Air&Défense

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. La Cour de justice de l’Union européenne vient d’annuler les transferts de données personnelles vers les États-Unis, qu’elle juge insuffisamment encadrés. Cette décision oblige les entreprises à revoir au plus vite leurs pratiques en attendant un nouvel accord. (*) Par Charles Cuvelliez, de l’université de Bruxelles, et de Jean-Jacques Quisquater, de l’université de Louvain.

Il y a quinze jours, la Cour européenne de justice a fait souffler un vent glacial sur le business transatlantique en annulant (encore !)  le cadre qui règle les transferts de données entre les États-Unis et l'Europe, la décision dite « Privacy Shield », après « Safe Harbour ». Dans les deux cas, on retrouve le même plaignant, M. Schrems, un citoyen autrichien, qui en fait un vrai business (d'activiste).

Ses données personnelles hébergées par Facebook, s'était-il plaint, n'ont pas une protection digne du RGPD, le Règlement général de protection des données, sur le territoire américain en dépit des garanties obtenues par la Commission auprès des autorités américaines. La Cour l'a suivi (1) et ne laisse même pas de période de grâce : sa décision s'applique tout de suite ! Si des données personnelles de vos clients ont le malheur de faire un aller-retour par les États-Unis pour mille raisons, vous êtes depuis mi-juillet dans l'illégalité.

Si vous avez de la chance, votre fournisseur américain avait déjà prévu le coup et fait en sorte que vos données ne transitent jamais par les USA. C'est le cas des fournisseurs  de clouds qui s'arrangent pour ne jamais faire sortir les données de leurs centres de données européens. Mais gare à tous les autres cas de figure. Le forum des autorités de protection des données des 27 États membres et des 3 Etats de l'Espace Economique Européen, dont la Cnil (l'EDPB ou European Data Protection Board) a publié des conseils pour guider les sociétés et leurs fournisseurs américains désorientés (2).

Revoir les contrats

Il faut revoir les contrats, expliquent ces autorités. Un contrat est compatible avec le RGPD s'il contient des clauses standards dites « SCC » (Standard Contractual Clauses) dont le modèle a été approuvé par la Commission. La Cour européenne de justice, dans son arrêt invalidant le Privacy Shield, ne remet pas en cause leur validité mais, en l'espèce, elles sont inutiles dit-elle, puisque la loi américaine rend ces SCC inopérants. Il faut, dit l'EDPB, des mesures supplémentaires de protection des données.

C'est la même conclusion pour les BCR, les Binding Corporate Rules, un concept plus fort que les SCC. Elles lient personnellement les entreprises qui y  souscrivent lorsque l'une d'elles est hors Europe : elles s'engagent à compenser le manque de protection des données personnelles. Ces BCR doivent même être approuvées par les autorités de protection des données des États membres d'origine de ces entreprises. Ces BCR se font au cas par cas et Privacy Shield ambitionnait justement de l'éviter. Les entreprises américaines pouvaient obtenir une certification Privacy Shield à la place.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Mais ces BCR ne compensent que l'absence de lois de protection des données.  Or, les États-Unis n'ont pas une législation incomplète, dit la Cour. Elles ont carrément une législation qui s'oppose à la protection des données, puisque les autorités américaines peuvent les consulter grâce à leur propre cadre juridique. Les BCR aussi seraient inopérantes. Là aussi il faut des mesures de protection supplémentaires.

La nature de ces mesures supplémentaires reste peu claire. L'EDPB explique qu'elle viendra en son temps avec des explications sur leur nature. Mais n'attendez pas, dit-elle. Renégociez vos contrats et montrez que vous tentez de prendre des mesures de protection, techniques, organisationnelles ou légales, contre lesquelles même les USA ne peuvent rien faire.

Multiplier les avatars

Tant qu'à faire, l'EDPB propose de suivre la même approche pour tous les pays tiers qui n'ont pas de législation de protection des données personnelles ad hoc. Là aussi, les BCR qui lient les entreprises de ces pays et celles de l'Europe doivent être « augmentées » de mesures supplémentaires. C'est du bon sens quand on sait que les Américains n'ont rien à envier aux Chinois ou aux Russes qui ne s'encombrent sûrement pas d'une législation pour fouiner dans les données en provenance d'Europe (heureusement, les occasions sont moins nombreuses !).

Quant aux exceptions de l'article 49 du RGPD qui permettent exceptionnellement de transférer des données hors Europe (pour la bonne exécution d'un contrat, quand le citoyen y consent ou quand il s'agit d'une question d'intérêt public couvert par une loi de l'État membre concerné), elles ne peuvent jamais devenir la règle. Facebook ne peut se retrancher derrière ses conditions générales pour faire comme avant.

Mais la garantie de n'avoir aucune de ses données sur le territoire américain n'offre pas la protection tant « désirée »  par M. Schrems. Les USA peuvent invoquer le Cloud Act pour inspecter des données en Europe. Devrons-nous, dans le futur, créer et utiliser des logiciels vantards qui donnent vie à des centaines d'avatars pour protéger notre vie privée ? Tout le contraire d'être identifié sur internet.

1. https://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=FR

2. 

https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_en

Charles Cuvelliez et Jean-Jacques Quisquater (*)

Sur le même sujet

François Rousseau

OPINION. « Et si l'un des meilleurs choix d'avenir pour les jeunes était l'industrie ? »

Alors que l’année scolaire vient de se terminer, des milliers d'étudiants s'apprêtent à franchir une étape décisive, qu'il s'agisse de trouver un stage ou de décrocher leur premier emploi. C'est un moment charnière, souvent anxiogène, où les choix d'orientation se cristallisent, et où les préjugés peuvent peser lourd.

Idées & Débats
Ruchir Budhwar

OPINION. « Aérospatial : l’IA au cœur d’une nouvelle trajectoire industrielle »

Idées & Débats
Guillaume Chiche

OPINION. « Investissements étrangers : après l’attractivité, l’exécution »

Les annonces d’investissements étrangers constituent une excellente nouvelle pour la France. Mais être choisie ne suffit plus.  Elle a besoin que les décisions d’investissement deviennent des projets livrés, des emplois créés et de nouvelles infrastructures qui contribuent durablement au développement des territoires.

Idées & Débats
Serge Hanoca

OPINION. « Business France, l’illusion d’une reconquête sans moyens »

Réarmement économique ou désarmement budgétaire ? Un droit de réponse de Serge Hanoca, Collaborateur de Business France et secrétaire du CSE (*)

Idées & Débats
Hamid Enayat

OPINION. « La véritable peur de l'Iran n'est pas la guerre... C'est la paix »

Idées & Débats
Charles Cuvelliez

OPINION. « Les drones ont ouvert un nouveau chapitre de la guerre hybride  »

D’après l’IISS, l’International Institute for Strategic Studies, un think tank basé à Londres spécialisé dans l’analyse des questions de sécurité internationale, de défense et de géopolitique, qui s’est livré à une véritable enquête policière, le Kremlin a bien orchestré une campagne de drones au-dessus de l’Europe.

Idées & Débats
Sébastien Guinard

OPINION. « Le paradoxe chinois de l’IA : une nanoseconde derrière et pourtant déjà devant »

Oubliez les tokens et les gigawatts ! L'IA ne se contente plus de calculer, elle agit. La véritable course à l'intelligence artificielle est la capacité industrielle.

Idées & Débats
Catherine Baudeneau

OPINION. « Pourquoi les Français épargnent-ils autant… mais investissent-ils si peu ? »

Les Français épargnent beaucoup. Trop, disent parfois certains observateurs. Avec un taux d'épargne qui dépasse régulièrement les 17 % du revenu disponible des ménages et plus de 6 000 milliards d’euros d’actifs financiers détenus par les Français, notre pays ne manque manifestement pas de ressources financières. Pourtant, une question demeure : pourquoi cette épargne abondante se transforme-t-elle si difficilement en investissement ?

Idées & Débats