C'est au premier abord une excellente nouvelle, de nature à rassurer les milliers d'entreprises qui naviguent dans le brouillard depuis deux ans et l'annulation spectaculaire du Privacy Shield, l'accord qui régissait les transferts de données transatlantiques. Vendredi 25 mars au soir, Washington et Bruxelles ont annoncé, à la surprise générale, avoir enfin trouvé une solution, sous la forme d'un nouvel accord de principe.
Sur le papier, c'est une avancée majeure tant ces échanges de données sont cruciaux pour l'économie numérique. Effectivement, les entreprises américaines qui ont des utilisateurs en Europe, et inversement, ou les sous-traitants européens d'entreprises américaines, doivent pouvoir transférer des données de l'autre côté de l'Atlantique pour pouvoir fournir de manière efficiente leur service. Si les géants américains du numérique sont les premiers concernés, cette situation touche environ 5.000 entreprises, y compris européennes.
Les précédents cadres annulés à cause de l'espionnage américain
Pourquoi, alors, ne pas se réjouir de cette annonce qui pourrait mettre fin à deux ans d'insécurité juridique ? Tout simplement car la situation était bloquée pour une bonne raison : le Privacy Shield a été annulé en 2020 car la Cour de justice européenne a estimé qu'il n'était pas conforme au Règlement européen sur la protection des données (RGPD). Avant lui, le précédent cadre, le Safe Harbor, avait connu le même sort en 2015, deux ans après les révélations de l'activiste Edward Snowden sur l'espionnage de masse réalisé par les Etats-Unis en Europe.
"Selon la CJUE, la surveillance opérée par les services de renseignement américains sur les données personnelles des Européens est excessive, insuffisamment encadrée, et sans possibilité réelle de recours", expliquent Ariane Mole et Willy Mikalef, avocats spécialisés dans la protection des données au sein du cabinet Bird & Bird.
Pour débloquer la situation, il aurait donc fallu soit que l'UE abaisse son niveau d'exigence concernant la sécurité et l'accessibilité des données des Européens, soit que les Etats-Unis réforment leur propre législation, notamment leurs lois extraterritoriales -Cloud Act, loi Fisa...- qui permettent à leurs services de renseignement de collecter massivement des données sans devoir en informer les personnes concernées.
Or, depuis 2020, rien n'a bougé sur le front juridique. En Europe, la tendance est au renforcement de la protection des données au nom de la souveraineté numérique, et à la sécurisation du partage des données pour stimuler l'innovation, notamment via un nouveau texte en préparation, le Data Governance Act (DGA), qui viendra compléter en 2023 ou 2024, sur le volet "data", le Digital Markets Acts (DMA) qui régule les marchés numériques, et le Digital Services Act (DSA) dédié à l'encadrement des contenus sur Internet.
Quant aux Etats-Unis, ils n'ont aucunement réformé leur législation pour s'aligner sur le RGPD et satisfaire les exigences de l'UE. Bien au contraire, ils ont même récemment renforcé les pouvoirs de leur renseignement et leur capacité à accéder aux données, et ont refusé de réformer le problématique Cloud Act, incompatible avec le RGPD.
En première ligne, les entreprises sont les principales victimes de ce blocage juridique. Depuis 2020, elles pataugent. Pour transférer des données vers l'autre continent, elles ont recours au mécanisme des mesures contractuelles types, qui imposent des garanties de sécurité des données, ainsi qu'à des mesures techniques pour mieux les protéger d'éventuelles ingérences extérieures. Autrement dit : du bricolage, avec des "guidelines" (lignes directrices) de la Commission européenne qui sont arrivées au fil de l'eau en 2020 et 2021, mais qui ne constituent pas une solution satisfaisante sur le long terme.
Le nouvel accord condamné à être retoqué comme les précédents ?
Dans ce contexte, comment diable un nouvel accord a-t-il pu être trouvé ? Et surtout, quel est-il ? Ni la Commission européenne ni la Maison Blanche n'en ont encore dévoilé les détails. « Cet accord permettra des transferts prédictibles et en confiance de données entre l'Union européenne et les Etats-Unis », a assuré une très mystérieuse Ursula von der Leyen, la présidente de la Commission européenne.
On sait simplement que le nouvel accord doit définir de nouveaux filets de sécurité pour "limiter l'accès à la data par les agences de renseignement américaines" aux données jugées "nécessaires et proportionnelles pour protéger la sécurité nationale". Encore faudra-t-il définir les données "nécessaires" et la notion de proportionnalité... De leur côté, les Etats-Unis s'engagent à mettre en place un mécanisme de recours indépendant comprenant un tribunal de révision de la protection des données, chargé de statuer sur les réclamations.
A l'heure actuelle, l'accord de principe annoncé est simplement une déclaration politique qui n'est pas encore traduit en langage juridique dans un texte. Cette démarche pourrait encore prendre des mois. Le texte devra ensuite être adopté par la Commission européenne, et passer ensuite l'obstacle de son examen par le Comité européen de la protection des données (EDPB). Tout ceci pourrait prendre encore des mois, d'autant plus si le texte fait l'objet de recours devant la Cour de justice de l'UE.
Dès l'annonce de ce nouvel accord, l'activiste Max Schrems, déjà à l'origine des plaintes qui ont abouti à l'annulation du Safe Harbor en 2015 puis du Privacy Shield en 2020, a partagé son incompréhension.
« Nous avions déjà un accord purement politique en 2015 qui n'avait aucune base légale. Le même jeu pourrait se jouer une troisième fois. L'accord est un symbole voulu par Usula von der Leyen, mais il n'a pas le soutien des experts juridiques à Bruxelles, car les États-Unis n'ont pas bougé », a-t-il déclaré.
Via son organisation None of Your Business, à l'origine de nombreuses plaintes contre les Gafam dont certaines aboutissent sur des sanctions, y compris par les Cnil européennes, Max Schrems a d'ores et déjà annoncé qu'il n'hésitera pas à déposer une nouvelle plainte si le texte paraît violer le RGPD comme le précédent.
La Commissaire européenne Margrethe Vestager semble également s'attendre à des contestations en justice. "Je sais combien ils [les négociateurs] ont travaillé pour que ce soit solide, mais bien sûr cela reste à voir et je suppose que le texte sera effectivement testé devant les tribunaux", a-t-elle déclaré à Reuters.
Les Etats-Unis vont fournir du gaz à l'UE pour réduire sa dépendance à la Russie
Le contexte dans lequel cet accord de principe entre l'UE et les Etats-Unis a été noué interpelle également. Son annonce a été effectuée vendredi 25 mars au soir, quelques heures seulement après l'annonce d'un autre accord entre les deux puissances, portant cette fois sur le gaz.
Alors que l'Europe vit à nouveau une guerre inter-étatique sur son sol pour la première fois depuis 1945 avec le conflit ukrainien, les Etats-Unis vont aider l'Union européenne à réduire sa dépendance au gaz russe, car l'argent versé à la Russie contribue à financer sa guerre en Ukraine. L'accord, négocié en marge d'un sommet européen, engage les Etats-Unis à livrer en 2022 15 milliards de m3 supplémentaires de gaz naturel liquéfié (GNL) à l'UE, puis à monter en puissance les années suivantes jusqu'à 50 milliards de m3 par an. L'objectif de l'UE est de se passer des énergies fossiles russes d'ici à 2027.
Renoncement de l'UE sur ses données ? Simple geste de bonne volonté qui sera retoqué ?
S'il faut éviter de sauter sur les conclusions hâtives et qu'il faudra voir comment le futur texte se dépatouille de l'incompatibilité juridique entre le Cloud Act et le RGPD, difficile de ne pas voir un lien entre les deux annonces. Dans un contexte où les Etats-Unis n'ont pas bougé le petit doigt sur leurs pratiques de collecte des données, et de la guerre en Ukraine qui replonge l'Union européenne dans les bras de l'OTAN, l'UE a-t-elle en fait accepté de céder une partie de sa souveraineté numérique en échange de gaz américain ?
C'est l'opinion de nombreux experts et observateurs consultés par La Tribune tant le gouffre juridique semblait profond jusqu'au vendredi 25 mars au soir. D'autant plus que l'édifice autour des transferts de données illégaux commençait à tomber ces derniers mois. En février dernier, la Cnil française a rendu une décision coup de tonnerre en déclarant illégale l'utilisation de l'outil d'analyse des sites web Google Analytics par Auchan, en raison justement de l'illégalité du Privacy Shield. De son côté, Meta (Facebook, Instagram, WhatsApp, Messenger) est dans la panade en Irlande, où le régulateur s'apprête à prononcer des sanctions car il a continué les transferts de données personnelles européennes vers les Etats-Unis sans s'adapter à l'arrêt du Privacy Shield.
.. nos datas contre le gaz .. quand on n'a pas de vision sur la souveraineté, on doit accepter la vision du monde des autres pour nous. humiliant. https://t.co/hItdavrdIj
— Octave Klaba (@olesovhcom) March 25, 2022
De leur côté, les géants de la tech ont salué un deal qui "rétablira la sécurité juridique pour les entreprises et renforcera les garanties pour les utilisateurs", dans une déclaration de la Computer & Communications Industry Association. Et la Software Alliance, regroupant les principales entreprises spécialisées dans le cloud, a exhorté les deux parties à "conclure rapidement les négociations".
Mais beaucoup font d'ores et déjà le pari de l'échec. "Si le texte n'est pas conforme aux RGPD comme les précédents, alors il sera retoqué" relativise l'économiste Joëlle Toledano, interrogée sur le sujet par La Tribune lors du Think Tech Summit qui s'est tenu à Paris lundi 28 mars.
A moins, bien sûr, que les juristes de l'UE sortent un lapin juridique de leur chapeau et trouvent la parade technique que ni le Safe Harbor, ni le Privacy Shield, n'avaient trouvé, pour que les transferts de données transatlantiques puissent reprendre sans que les Etats-Unis reculent sur leur arsenal de surveillance. La manière dont le texte va aborder la question de la nécessité et de la proportionnalité de la collecte des données sera cruciale.
Sujets les + commentés