Enorme « bug » en vue pour les transferts de données entre l’Europe et les Etats-Unis

Responsable du pôle Multimédias

Pour la 3^e fois, la Commission européenne dépose un accord censé valider les transferts de données UE-USA, toujours illégaux en vertu du RGPD. Pour la 3^e fois, l’avocat autrichien Max Schrems va le dénoncer devant la Cour de Justice. Et le risque d’annulation est immense. Embourbant des milliers d’entreprises dans un immense flou juridique.

Caramba, encore raté. La Commission européenne et les Etats-Unis pensaient, enfin, avoir trouvé la parade magique pour mettre fin à l’illégalité des transferts transatlantiques de données personnelles. C’était sans compter sur la pugnacité de l’ONG Noyb et de son mentor, Max Schrems. Cet avocat activiste autrichien, qui a déjà laissé son nom à deux arrêts historiques de la Cour de Justice de l’Union européenne (CJUE) invalidant ces transferts, a annoncé qu’il remettrait le couvert, pour la troisième fois. Et ce, au moment où le Conseil européen annonce s’être mis d’accord sur une nouvelle base légale censée régler le problème.

Retour, donc, à la case tribunaux, plongeant des milliers d’entreprises américaines (Microsoft, Google, Amazon, Meta, Salesforce, Zoom, Dropbox…), ainsi que toutes celles qui utilisent leurs services en Europe (y compris les Etats ou les hôpitaux), dans un immense flou juridique. Comme si le « Big Data » (et son fief, la Silicon Valley) était définitivement insoluble dans le Règlement général sur la protection des données (RGPD).

Le sac de nœuds semble à ce point inextricable que tout le monde, ou presque, fait l’autruche. Pourtant, les conséquences des arrêts Schrems I et II sont tangibles. L’amende record de 1,2 milliard d’euros infligée à Meta pour ses transferts de données illégaux vers les Etats-Unis ? C’est eux. Idem pour les menaces de Mark Zuckerberg d’arrêter Instagram et Facebook en Europe, la mise hors-la-loi de Google Analytics en France. Ou encore la récente plainte contre Telesign, la filiale américaine de Proximus. Par extension, si Bard, l’IA de Google, ou Threads, la nouvelle appli « anti-Twitter » de Meta, ne sont pas en Europe, c’est la faute de Schrems II. Et si de nombreux experts ne prêtent que de maigres chances de survie à ChatGPT sur le Vieux Continent, c’est pour les mêmes motifs.

Programmes d’espionnages américains

Mais où est l’os ? A Washington ! Le RGPD autorise bien les transferts vers des pays tiers, mais à la condition que ces Etats garantissent un niveau de protection équivalent. Ce qui n’est pas le cas des Etats-Unis où un dispositif législatif (renforcé au lendemain du 11-Septembre) permet aux services de renseignement, pour des raisons de sécurité nationale, d’accéder aux données des citoyens européens ou de leurs entreprises utilisant des services « cloud » américains (typiquement Office 365 ou Google, rien que ça). Et ce, c’est important, sans passer par un juge. Souvenez-vous, c’est le fameux programme de surveillance révélé par Edward Snowden. Pour tenter de contourner l’affaire, les entreprises se sont alors appuyées sur des tentatives d’accord d’adéquation entre l’UE et les Etats-Unis. En vain. A deux reprises, la CJUE a invalidé ces accords (le « Safe Harbor », d’abord, le « Privacy Shield », ensuite) à la suite des plaintes de Noyb.

Pour sortir du marécage, il y avait deux pistes : réduire la voilure du RGPD. Ce qui était exclu pour la Commission. Ou modifier les lois américaines (le fameux article « FISA 702 »). C’était sans compter un accord surprise, en octobre dernier, sorti du chapeau d’Ursula von der Leyen (présidente de la Commission) et Joe Biden (le jour où s’était conclu un autre accord sur les livraisons de gaz liquide américain en pleine crise énergétique). On pensait alors que les Etats-Unis allaient lâcher du lest sur leur programme de surveillance, interdisant désormais aux autorités judiciaires de puiser les données de citoyens européens.

Et bien, non. Rien dans l’accord présenté par la Commission ne va en effet dans ce sens. Et c’est précisément ce que Noyb et Max Schrems vont faire valoir devant la CJUE. « Cet accord relève du pur effet d’annonce », commente Jacques Folon, professeur à l’Ichec et auteur du RGPD 2023. Guide de survie (qui vient de paraître aux éditions Corporate Copyright). « C’est de la politique, pas du droit. Fondamentalement, rien ne change. Et le problème est bien aux Etats-Unis. La CJUE est très claire : tant qu’il n’y a pas de base légale pour le traitement par les services secrets américains et qu’en plus, il n’y a aucune possibilité d’introduire un recours, le problème de légalité de ces transferts de données se posera. Les niveaux de sécurité juridique proposés dans ce nouvel accord restent extrêmement faibles.

Bref, on tourne en rond. « Le nouveau cadre transatlantique de protection des données n’est qu’un copier-coller du précédent », a dénoncé Noyb. « L’erreur », commente Jacques Folon, « c’est que, lorsque le “Privacy Shield” a été invalidé, la Commission n’a pas décidé de mettre dix milliards d’euros sur la table pour développer un écosystème “tech” européen. Tant qu’il n’y aura pas d’acteurs locaux (pour les services « cloud », par exemple), on sera obligé de faire semblant de croire que le problème des transferts transatlantiques de données n’est pas gave ».