Les transferts de données sont maintenant autorisés vers les États-Unis: vraiment?

Vous avez dû entendre parler de la décision de la Cour de justice de l’Union européenne qui a annulé, pour la deuxième fois, l’accord proposé par la Commission européenne qui autorisait le transfert de données personnelles de l’Europe vers les États-Unis, et qui s’appelait le Bouclier de protection des données. La principale raison de l’annulation était que les services secrets américains pouvaient avoir accès aux données personnelles détenues par les entreprises américaines et donc aux données des citoyens et des consommateurs européens sans qu’ils en empêchent ou parfois même en aient connaissance. Ainsi, depuis juillet 2021, le recours à des entreprises américaines comme sous-traitants était devenu complexe, parfois même impossible ou illégal.

Suite aux plaintes de l’ONG NOYB (None of Your Business) derrière l’annulation du bouclier de protection des données, des plaintes ont été déposées à travers l’Europe contre les entreprises qui utilisent Google Analytics. La CNIL et d’autres autorités européennes ont donné leur accord et ont déclaré l’AG contraire au RGPD.

Tout récemment, l’amende record de 1,2 milliard pour Facebook a démontré une fois de plus les difficultés de concilier le RGPD et le transfert de données vers les États-Unis. Tout cela a généré une incertitude juridique colossale, car tout recours à l’un des GAFAM pouvait poser un problème et était passible de lourdes amendes.

Paraphrasant la phrase de Boileau concernant Malherbe: Enfin Ursula est venu, d’un accord a enseigné le pouvoir, et a réduit les DPO aux règles du devoir.

Abracadabra, jamais deux sans trois la Commission, par un coup de baguette magique et un peu de fumée et de miroirs considère depuis quelques jours que les États-Unis sont redevens acceptables, que leur législation est conforme au RGPD et que les milliards de données personnelles des citoyens européens peuvent à nouveau être transmis aux entreprises américaines.

Et pourtant, le Parlement européen, les autorités européennes de protection des données et la majorité des experts avaient dénoncé cette proposition de « décision d’adéquation » qui considère, en fermant les yeux, que la législation américaine est conforme au RGPD.

Cette décision a vu des déclarations fleurir partout, peut-être un peu hypocrites, ou inspirées par la facilité, signalant que tout va bien et que toutes les données personnelles des Européens pourraient maintenant être retrouvées dans les serveurs américains sans aucun problème. Malheureusement, rien ne pourrait être plus éloigné de la vérité.

Cette décision sera probablement annulée, une troisième fois, par la Cour de justice de l’Union européenne dans les mois à venir pour plusieurs raisons et en particulier parce que la surveillance de masse et le contrôle des données par les services 

Ainsi, pendant quelques mois, les entreprises et organisations européennes et leurs fournisseurs américains de solutions cloud et informatiques feront semblant de croire que tout va bien.

Et encore une fois, non seulement la protection des données personnelles des citoyens européens n’est pas prise en compte par la Commission, mais au lieu de promouvoir le chiffre d’affaires du GAFAM, n’aurait-il pas été plus utile d’investir les efforts de la Commission dans la création de solutions européennes, qui respectent les citoyens et les consommateurs européens?

L’ONG NOYB, à la base des deux premières annulations est dans les Blocs de départ pour annuler pour la troisième fois cette décision. Comme le dit son président Max Schrems: « On dit que la définition de la folie est de faire la même chose encore et encore et de s’attendre à un résultat différent. »