Préproduction

Chez J2S

RGPD & Privacy Shield, un serpent de mer à la longue histoire

La question de nos données n’est pas à prendre à la légère.

Un exemple : la très récente décision des États-Unis à propos de TikTok.

Le Congrès américain a adopté mardi 23 avril 2024, une loi qui force la société chinoise ByteDance à céder TikTok. Sans cela, l’application de vidéos sera interdite sur le territoire américain. On lui reproche la capacité qu’aurait le gouvernement chinois d’espionner les citoyens américains. Il est aussi question de sa capacité à influencer leurs opinions via les données gérées par application.

De son côté, l’Union européenne a conçu le RGPD pour protéger notre identité numérique. Cela concerne les informations stockées auxquelles nous sommes liés. Les articles que nous avons « likés », les groupes de discussion suivis, les produits consultés ou commandés, les émissions télé regardées… Ou encore nos mails, nos commentaires, nos comptes bancaires et autres, et maintenant l’analyse de nos écrits, vidéos, enregistrements, etc. L’analyse de nos écrits, vidéos, enregistrements ? Voici une vidéo qui montre comment Gemini (Google) comprend ce que nous dessinons.

La question de nos données n’est donc pas à prendre à la légère. L’une des questions essentielles est de savoir où elles sont stockées et sous quelle juridiction.

Si nos données sont stockées en Europe, alors les entreprises qui les gèrent doivent respecter le RGPD. Ce n’est plus le cas lorsqu’elles sont stockées aux États-Unis. Ceci a ouvert une longue histoire controversée, dont je vous propose un résumé rapide ci-dessous. Mais auparavant, signalons que la question se pose aussi pour nos données stockées en Chine, en Inde, ou dans tout autre pays hors de l’Union européenne.

2015 Safe Harbor

Il était une fois Maximillian Schrems, étudiant en droit autrichien obstiné et persévérant. Il se sentait concerné par la manière dont ses données personnelles étaient traitées par Facebook.
Réalisant que l’accord Safe Harbor passé entre les États-Unis (EU) et l’Union européenne (UE) ne protégeait pas nos données personnelles stockées aux États-Unis, il obtenait en 2015 l’invalidation de cet accord. La Cour de justice de l’Union européenne l’invalidait au motif que « les États-Unis n’offrent pas un niveau de protection adéquat aux données personnelles transférées ». Pour situer l’ampleur de cette décision, rappelons que Safe Harbor a regroupé jusqu’à 4000 entreprises américaines. Dont Microsoft, Google, Amazon, Facebook, General Motors, etc.

2016 Privacy Shield

Le 12 juillet 2016, la Commission adopte un nouvel accord avec les États-Unis désormais nommé Privacy Shield. Après l’approbation de la plupart des États membres de l’UE.
Il se compose d’une série d’engagements de la part du gouvernement fédéral des États-Unis et d’une décision de la Commission européenne. La Commission stipule que « les garanties pour le transfert des données sur la base de la nouvelle protection des données UE – EU protègent selon les normes de protection des données dans l’UE ». Privacy Shield garantit aux citoyens européens que leurs données stockées aux États-Unis bénéficient d’une protection identique à celle dont ils bénéficient en Europe.

2020 Privacy Shield invalidé

Maximillian Schrems dépose une nouvelle plainte. La Cour de justice de l’UE invalide de nouveau le Privacy Shield pour les mêmes motifs. Voir l’ arrêt de la cour du 16 juillet 2020.

En résumé, le Privacy Shield facilitait les échanges outre-Atlantique en stipulant que la législation américaine offrait les mêmes garanties que le droit européen, mais… la Cour de justice de l’Union européenne n’est pas de cet avis, notamment eu égard au fait que l’administration américaine peut librement disposer de nos données et de l’absence de recours possible. 

Depuis cette date, il n’existe plus d’accord entre les États-Unis et l’Union européenne à ce sujet. Cependant, nous restons soumis au RGPD qui impose des règles contraignantes pour le  transfert de nos données personnelles vers des pays jugés moins protecteurs que l’Union européenne.

2022 Privacy Shield 2.0

Une nouvelle mouture Privacy Shield 2.0 devrait bientôt arriver. Elle vise à mettre fin à l’insécurité juridique qui pèse aujourd’hui sur les entreprises.
Selon cet article du 25 mars 2022 de l’Usine Digitale « le Président des États-Unis Joe Biden et la Présidente de la Commission européenne Ursula von der Leyen ont annoncé être parvenus à un accord de principe sur un nouveau cadre pour le transfert de données transatlantique. « Cela permettra d’avoir des flux de données prévisibles et fiables, tout en assurant la sécurité, le droit à la vie privée et la protection des données », déclare Ursula von der Leyen sur Twitter ». Voir aussi cet article de Droit & technologies.

2023 Data Privacy Framework

Le 28 février 2023, le Comité européen de protection des données (CEPD) a émis un avis soulignant ses préoccupations quant au texte analysé.
Le 13 avril 2023, le Parlement européen engage (de manière non contraignante) la Commission à ne pas adopter la décision d’adéquation tant que les inquiétudes émises par le CEPD n’auront pas été chassées.
Le 4 juillet 2023, la Commission des états membres valide le Data Privacy Framework. 24 pays et 3 membres de la commission s’abstiennent. Le 10 juillet suivant, la Commission européenne prend la décision d’adéquation.

2024

Cet historique complexe démontre les efforts constants de l’UE pour trouver un équilibre entre facilitation des transferts de données transatlantiques et protection adéquate des données personnelles de ses citoyens.
Malgré les défis persistants, l’objectif demeure de garantir un niveau de protection des données équivalent à celui de l’UE. Et ce, même en cas de transfert vers des pays tiers.
C’est dans ce contexte que les entreprises européennes doivent naviguer pour stocker des données sensibles ou personnelles aux États-Unis en conformité avec le RGPD.
De son côté, J2S a choisi d’héberger Simple Workspace chez OVHCloud.

Nous garantissons à nos clients le stockage de leurs données physiquement en France par une société de droit français.
De fait, ceux qui sont hébergés par des sociétés assujetties au droit européen et assurant un stockage en Europe échappent aux incertitudes nées des différences juridiques entre pays.

Voulez-vous en savoir plus ? Prenez contact , nous serons ravis d’échanger.

D. Lantier

Business Developer

(Article Chez J2S du 29/4/2024)