Privacy Shield 2.0 : renoncer aux boucliers de protection troués

Depuis le 25 mai 2020, le règlement général européen sur la protection des données (RGPD) est en vigueur. Même s'il a mis les nerfs des responsables à rude épreuve lors de son introduction, il peut être considéré comme une réussite. Il a eu des effets extrêmement positifs, à savoir une meilleure prise de conscience générale des problèmes liés à la protection des données. Les nombreux gros titres sur les amendes salées infligées pour non-respect du RGPD y sont pour beaucoup. Même de puissants acteurs américains doivent trembler devant lui. Le groupe Meta en a récemment fait les frais, puisqu'il s'est vu infliger une amende record de 1,2 milliard d'euros pour avoir transmis des données d'utilisateurs européens de Facebook aux Etats-Unis.

De nombreux imitateurs

Le fait que le RGPD ait fait de nombreux émules dans le monde entier prouve qu'il s'agit d'une histoire à succès. L'Australie, le Brésil, la Corée du Sud, la Thaïlande et même des États américains comme la Californie l'ont pris comme modèle pour leur législation sur la protection des données. Et le 1er septembre 2023, la nouvelle loi sur la protection des données (nLPD) entrera en vigueur en Suisse (voir ici). Il renforcera les droits des citoyens suisses à l'ère du numérique et élèvera la protection des données de la Confédération à un niveau comparable à celui des pays de l'UE - en s'inspirant également du RGPD.

Il va pratiquement de soi que les entreprises doivent se conformer aux dispositions du règlement général européen sur la protection des données. Aux nombreuses bonnes raisons morales, juridiques et financières s'ajoute désormais, cinq ans plus tard, une autre bonne raison : en cas d'infraction, les entreprises doivent désormais s'attendre à des demandes de dommages et intérêts pour préjudice moral. Dans un arrêt de principe rendu début mai 2023, la Cour de justice de l'Union européenne a confirmé que les victimes d'infractions pouvaient réclamer des dommages et intérêts pour des préjudices immatériels tels que la mise à nu, à l'instar du pretium doloris en cas de blessures corporelles. Il est donc plus important que jamais pour les entreprises de mettre en place des processus propres pour remplir leurs obligations.

Demandé : un accord "No Spy

Pour la Commission européenne, ce cinquième anniversaire serait en fait l'occasion idéale de faire une nouvelle introspection. En effet, elle est actuellement sur le point de commettre une troisième fois la même erreur. Ces dernières années, la Cour de justice européenne a déjà annulé deux accords conclus par la Commission avec les Etats-Unis. Tout d'abord, "Sphère de sécurité" puis "Bouclier de protection des données"Les juges européens ont toutefois tiré le frein d'urgence à deux reprises. En raison des droits d'accès étendus des services secrets américains, ils ont estimé que les données personnelles des citoyens européens n'étaient pas suffisamment protégées par les entreprises américaines au sens du RGPD.

Récemment, la Commission européenne et le gouvernement américain se sont mis d'accord sur une nouvelle réglementation qui risque de subir le même sort. Rien n'indique en effet que les lois de surveillance américaines - et donc le problème de fond - vont changer quoi que ce soit. Les défenseurs de la vie privée s'attendent donc à ce que la Cour de justice européenne annule également cet accord "Privacy Shield 2.0". Les entreprises risquent alors de vivre des années supplémentaires d'insécurité juridique lorsqu'elles utilisent des solutions cloud américaines. Pour éviter cela, la Commission européenne devrait, à l'occasion de l'anniversaire du RGPD, se souvenir de ce dont elle a vraiment besoin : un accord "No Spy" avec les États-Unis, qui garantisse le renoncement aux activités de renseignement. Tant qu'un tel accord n'est pas conclu, il est impossible d'utiliser les clouds des fournisseurs américains pour les données personnelles en toute sécurité juridique. Heureusement qu'il existe des solutions numériques souveraines comme alternatives.

Auteur : Holger Dyroff, co-fondateur et COO d'ownCloud