ZD Tech : Transfert transatlantique de données personnelles, l’accord impossible
Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Marine Louste et aujourd’hui, je vous raconte l’histoire de cet impossible accord entre l’Union européenne et les Etats-Unis pour protéger les données des Français et des Européens.
Fin mars, le président des Etats-Unis et la présidente de la Commission européenne annonçaient un nouvel accord sur le transfert de données personnelles entre l’Union européenne et les Etats-Unis.
Un nouvel accord ? Plutôt un nouvel nouvel nouvel accord. Car en réalité, les deux continents se déchirent sur cette épineuse question depuis… 25 ans.
Une histoire semée d’embûches, de négociations avortées et d’accords dénoncés. Je vous explique pourquoi en détail.
L’esprit de la loi
La vieille pomme de discorde entre les deux puissances repose sur deux conceptions très différentes de la nature et du statut des données personnelles.
Aux Etats-Unis, la loi du Cloud Act autorise Washington à fouiller dans les données personnelles de n’importe qui, quelle que soit sa nationalité, si la sécurité nationale est menacée. Les données d’un client français de Microsoft hébergées dans un datacenter du Wyoming peuvent donc être perquisitionnées sans ambages par la justice américaine.
Le débat, en fait, est presque philosophique. D’un côté, l’Europe cherche à garantir la protection des données de ses concitoyens. Mais aux Etats-Unis, la sécurité de l’Etat passe par la consultation des données des clients, même européens, de sociétés américaines.
Et quand deux lois s’opposent, difficile de trouver un accord. Pourtant, ce n’est pas faute d’avoir essayé.
Du Safe Harbor à l’arrêt Schrems II
Les premiers ratés ont lieu dès 1998, avec l’accord dit du Safe Harbor. Ce texte donne un premier cadre juridique au transfert de données personnelles entre l’Union européenne et les Etats-Unis.
Mais l’accord est invalidé en 2015, grâce à la détermination d’un jeune activiste autrichien, Max Schrems. La Cour de justice de l’Union européenne considère que le texte est dangereux pour les citoyens européens.
Face à l’urgence juridique, le vide laissé par l’invalidation du Safe Harbor est comblé en 2016 avec un nouveau texte, le Privacy Shield. Son objectif : permettre les transferts de données tout en respectant à la fois les lois européennes et les lois américaines.
Mais Max Schrems frappe de nouveau. Et l’arrêt Schrems II invalide le Privacy Shield en 2020.
Car, entre temps, l’Europe s’est dotée du RGPD, le règlement général sur la protection des données, mis en place en 2018. Et la Cour de Justice de l’Union Européenne juge que le Privacy Shield ne respecte pas ce nouveau texte.
Un texte attendu
Pourtant, des transferts de données personnelles transatlantiques, il y en a tous les jours. Et il faut rapidement trouver une solution juridique. En attendant un nouvel accord, la Commission européenne réactive un système dit de clauses contractuelles types, très bancal aux yeux du RGPD.
C’est pourquoi l’accord annoncé en grande pompe au mois de mars est crucial.
Problème : personne ne connaît encore sa nature. Max Schrems, lui, se montre déjà sceptique. « Attendons le texte, mais je parie qu’il échouera à nouveau », prédit le militant.
