"Tu as vu la bonne nouvelle ?" Les téléphones des avocats ont crépité lorsque Bruxelles et Washington ont révélé le 25 mars avoir trouvé un accord de principe sur le transfert des données européennes vers les Etats-Unis. "Beaucoup de clients étaient soulagés de voir que les deux administrations avaient trouvé un terrain d'entente", confirme Sonia Cissé, avocate spécialisée en technologie et protection des données chez Linklaters.
Il faut dire que cela fait des années que les collaborations d'entreprises européennes avec des sociétés américaines sont compliquées par le flou juridique qui existe sur ce sujet. Auparavant, le texte "Safe Harbor" régissait tout cela de manière assez libérale. Les entreprises américaines devaient afficher une certification éponyme les autorisant à recevoir des données européennes. "Elles l'obtenaient en remplissant une simple déclaration qui faisait rarement l'objet de contrôles", indique Sonia Cissé.
Coup de théâtre sur le scène européenne
Lorsque le militant pour la protection des données personnelles Max Schrems demande à la Cour de justice de l'Union Européenne de se prononcer sur la légalité du Safe Harbor, ce dernier ne tient pas l'examen. La CJUE conclut que ce cadre ne protège pas assez les données des citoyens européens de possibles saisies par la justice américaine, et n'offre pas assez de recours en cas de litiges. Fin 2015, le Safe Harbor est invalidé. Bruxelles et Washington se dépêchent alors de revoir leur copie et reviennent, confiants, en 2016, avec un "Privacy Shield" censé colmater toutes les brèches.
Mais en 2020, coup de théâtre, la cour de justice de l'UE, de nouveau appelée à chausser ses lunettes par Max Schrems, juge que le texte n'est toujours pas assez protecteur. "Alors que les citoyens européens disposent de plusieurs droits protégeant leurs données personnelles, ils perdaient ces droits lorsqu'elles étaient transférées aux Etats-Unis", résume l'avocate de Linklaters. Bilan des courses : le Privacy Shield est lui aussi invalidé en juillet 2020.
Vingt mois plus tard, les Européens et les Américains sont prêts à retenter leur chance. Précisons que s'ils se sont mis d'accord sur un nouveau texte, les détails de ce dernier n'ont pas encore été dévoilés, ni le calendrier des prochaines étapes. "Il faut un accord à l'épreuve des balles cette fois", confie Sonia Cissé. Vu la taille du marché européen, le risque que des entreprises américaines stoppent certaines collaborations avec des Européens ou certaines activités sur place est faible (même si Meta aime faire planer cette menace). Mais tant qu'un accord n'est pas en vigueur, les entreprises des deux zones géographiques restent dans un désagréable flou juridique.
La Commission européenne a publié des clauses contractuelles types (CCT) qu'elles peuvent utiliser lorsqu'elles doivent échanger des données. Mais elles doivent fournir une grande quantité de détails sur les mesures techniques et organisationnelles mises en place pour protéger celles des Européens (est-ce que les données seront chiffrées de bout en bout, qui aura la clé de chiffrement, etc.). "Pour les très grosses entreprises avec des équipes juridiques conséquentes, cela reste faisable, mais beaucoup de sociétés de plus petite taille, qui n'ont pas ces moyens, se sentent - et c'est compréhensible - assez perdues", souligne Sonia Cissé. Espérons qu'après deux échecs retentissants, Bruxelles et Washington arrivent à faire mentir le proverbe et que la troisième fois soit la bonne.