L'Union européenne et les États-Unis ont annoncé un accord sur un nouveau cadre pour les flux de données transatlantiques. (Vous trouverez la déclaration de l'UE ici et celle des États-Unis ici).
Cet accord est une réponse à l'invalidation du bouclier de protection de la vie privée par Schrems II en 2020. Cette question a été traitée en profondeur au cours des derniers mois, principalement en ce qui concerne l'utilisation de Google Analytics. (Vous pouvez trouver notre récapitulatif ici et l'annonce de la CNIL et du NOYB ici et ici).
L'accord sur un nouveau cadre pour le traitement des données à l'étranger n'est pas accompagné d'un texte pouvant être analysé à des fins juridiques. Il s'agit probablement d'un "accord de principe" qui servira de base à une "décision d'adéquation" dans l'Union européenne et à un décret aux États-Unis, qui seront rédigés dans les mois à venir. Toutefois, il reste encore beaucoup à faire pour qu'il entre en vigueur.
Conclusion : L'annonce est (une fois de plus) politique et sans fondement juridique. Du rouge à lèvres sur un cochon...
C'est beau, non ?
- Le Privacy Shield 2.0 n'a pas de base juridique
- Où en sommes-nous ?
- Pouvez-vous utiliser Google Analytics ?
- Mises à jour
Le Privacy Shield 2.0 n'a pas de base juridique
Voici ce que Max Schrems avait à dire:
Nous avons déjà eu un accord purement politique en 2015 qui n'avait pas de base juridique. D'après ce que vous entendez, nous pourrions jouer le même jeu une troisième fois maintenant. L'accord était apparemment un symbole voulu par Mme von der Leyen, mais il n'est pas soutenu par les experts à Bruxelles, car les États-Unis n'ont pas bougé. Il est particulièrement consternant que les États-Unis aient prétendument utilisé la guerre contre l'Ukraine pour pousser l'UE à agir sur cette question économique.
Le texte final aura besoin de plus de temps. Dès qu'il sera disponible, nous l'analyserons en profondeur, en collaboration avec nos experts juridiques américains. S'il n'est pas conforme à la législation européenne, nous ou un autre groupe le contesterons probablement. En fin de compte, la Cour de justice se prononcera une troisième fois. Nous nous attendons à ce que l'affaire revienne devant la Cour dans les mois qui suivront la décision finale.
Il est regrettable que l'UE et les États-Unis n'aient pas profité de cette situation pour conclure un accord "sans espionnage", assorti de garanties de base entre démocraties partageant les mêmes idées. Les clients et les entreprises sont confrontés à de nouvelles années d'incertitude juridique.
Où en sommes-nous ?
L'annonce a donné l'impression qu'un bouclier de protection de la vie privée 2.0 était proche, mais nous sommes encore loin d'un bouclier qui fonctionne vraiment. Toutefois, nous pouvons nous attendre à certaines choses.
Un tribunal indépendant
À l'heure actuelle, les États-Unis n'autorisent que peu ou pas d'examen par un tribunal indépendant de la question de savoir si le traitement des données à caractère personnel a été autorisé. Le nouveau bouclier de protection de la vie privée 2.0 changera cette situation. Un nouveau tribunal indépendant sera chargé de traiter les litiges relatifs au traitement des données à caractère personnel.
Autocertification
Les services logiciels basés aux États-Unis devront à nouveau s'auto-certifier pour se conformer au GDPR. Cela signifie que tous les services logiciels basés aux États-Unis ne peuvent pas être utilisés immédiatement pour traiter des données à caractère personnel. Si vous souhaitez utiliser légalement des services basés aux États-Unis, vous devez vérifier s'ils sont certifiés.
Pouvez-vous utiliser Google Analytics ?
En attendant, la situation actuelle reste inchangée : l'utilisation de services logiciels basés aux États-Unis constitue une violation du GDPR. Aucun document juridique ne dit le contraire, et nous devrons probablement en attendre un, au moins pendant quelques instants. Les risques d'amendes sont faibles, mais les entreprises qui veulent être du "bon côté" de la loi la violent en utilisant des services tels que Mailchimp ou Google Analytics.
Les services basés aux États-Unis ne sont pas les seuls outils logiciels disponibles. Il existe des tonnes d'alternatives européennes aux services basés aux États-Unis qui sont conformes au GDPR. Par exemple, nous avons créé une alternative à Google Analytics respectueuse de la vie privée, appelée Simple Analytics. Vous pouvez consulter alternativeto.net (recommandations de logiciels par la foule) pour trouver d'autres solutions respectueuses de la vie privée dans presque toutes les catégories.
En conclusion, l'annonce du nouvel accord transatlantique sur les flux de données n'est qu'une annonce politique (pour l'instant). Nous avons d'abord besoin d'un texte juridique pour prendre une "décision d'adéquation". Il faudra des mois (et, espérons-le, pas des années) avant que le bouclier de protection de la vie privée 2.0 n'entre en vigueur. En attendant, l'utilisation de services logiciels basés aux États-Unis constitue une violation de la loi.
Mises à jour
Le nouveau cadre pour le transfert de données est en route. Le président américain Joe Biden a signé un décret sur la surveillance électronique en octobre 2022, et la Commission européenne a publié un projet de décision d'adéquation pour les États-Unis deux mois plus tard.
La proposition sera certainement approuvée, mais elle sera aussi probablement contestée devant la CJUE. En d'autres termes, Schrems III se profile déjà à l'horizon, et il est difficile de dire comment il se déroulera.