Convenir d'un nouvel accord de transfert de données avec les États-Unis est une "haute priorité" pour l'UE, a déclaré hier Margrethe Vestager, vice-présidente exécutive du bloc pour la stratégie numérique, mais elle a également averti qu'un remplacement du défunt EU-US Privacy Shield. Safe Harbor avant cela) n'est en aucun cas un accord fermé, étant donné le conflit juridique fondamental entre les droits européens à la vie privée et la sur-surveillance américaine.
Ces dernières semaines, certains médias ont laissé entendre qu'un nouvel accord sur les transferts de données transatlantiques était imminent, selon un rapport politique du 3 février.
Cependant, les messages du commissaire Vestager suggèrent le contraire.
"Il s'agit d'un effort hautement prioritaire pour parvenir à un tel accord avec les Américains", a-t-il déclaré lors d'une session de questions-réponses lors d'une conférence de presse sur la dernière proposition de la Commission sur le partage de données (également connue sous le nom de loi sur les données). «Ce n'est pas facile, c'est un euphémisme. Parce que nous avons suivi les conseils, bien sûr, du tribunal [CJUE] qui a statué sur la base de la Charte des droits fondamentaux, ce que nous ne pouvons ni ne voulons changer."
«Nous devons donc trouver un moyen de travailler avec des Américains qui sont d'accord avec cela, bien sûr, afin que nous n'obtenions pas un jugement Schrems III négatif (Schrems II Compliance: Data Privacy Challenges and Solution), si tel est le cas. Mais c'est une priorité pour nous de permettre à la communauté des entreprises de tirer le meilleur parti des données, mais encore une fois de le faire dans des conditions sûres, claires et transparentes, et c'est pourquoi nous faisons avancer cela."
La raison pour laquelle la question des transferts de données s'est posée dans le cadre de la loi sur les données, ce que Vestager elle-même a suggéré, concerne principalement les données non personnelles (alors que l'arrêt Schrems qui a rejeté le Privacy Shield et l'assurance portuaire fait référence aux exportations de données personnelles en dehors le bloc). ) – est que le projet de loi propose une sorte de « Schrems II pour les données non personnelles », comme les experts en protection des données se sont empressés de l'appeler.
Un mémorandum explicatif préfixé au projet de proposition de loi sur les données énumère "les garanties contre le transfert illégal de données sans notification par les fournisseurs de services cloud" comme l'un de ses objectifs spécifiques, expliquant : "C'est parce que des inquiétudes ont été soulevées quant à ce qui relève de l'extérieur de l'UE /Espace économique européen (EEE) accès illégal du gouvernement aux données. De telles garanties devraient encore renforcer la confiance dans les services de traitement des données qui sous-tendent de plus en plus l'économie européenne des données.»
L'article 27 de la loi sur les données, qui traite de l'accès et du transfert internationaux, établit également :
« Les prestataires de services de traitement de données prennent toutes les mesures techniques, juridiques et organisationnelles raisonnables, y compris les arrangements contractuels, pour empêcher le transfert international ou l'accès du gouvernement aux données à caractère non personnel détenues dans l'Union lorsque ce transfert ou cet accès crée un conflit avec l'Union. ou la législation nationale de l'État membre concerné »
En résumé, selon une source européenne proche du dossier, il a déclaré : « Nous disons que les données non personnelles ne doivent pas quitter l'UE si elles risquent de tomber entre les mains d'espions étrangers », les comparant également à un « Schrems II pour les données non personnelles ».
Ainsi, pour quiconque imagine l'incertitude juridique régionale qui pèse (en particulier) sur les services cloud basés aux États-Unis, depuis la mi-2020, cela ne semble être rien de plus qu'un petit brouillard qui ne manquera pas de se dissiper, mais bien qu'il puisse affecter de manière inquiétante les transferts de données de l'UE.
Ici, dans le projet de loi sur les données, on peut voir la Commission doubler essentiellement sur Schrems II, plutôt que de chercher des moyens de contourner l'arrêt de la CJUE, comme elle l'a fait après Schrems I en se précipitant pour accepter un bouclier de la vie privée avec des failles juridiques.
Les deux attaques successives de la Cour de justice de l'Union européenne (CJUE) sur cette question semblent avoir mis fin à toute tentative tout aussi superficielle de dissimulation de vices juridiques fondamentaux.
Ce qui signifie à son tour que parler de ségrégation/fédération des services et de localisation croissante des données dans l'UE est bien réel, du moins tant que les réformes majeures de la loi américaine sur la surveillance échouent.
Lors de la conférence de presse sur la loi sur les données, Vestager a rejeté la suggestion d'un journaliste selon laquelle la loi sur les données est protectionniste, déclarant : "Il est avantageux pour les entreprises, d'où qu'elles viennent, que les données puissent circuler".
Mais il a également précisé que le règlement de l'UE est contraignant, il est donc clair que sans un accord de transfert de données de remplacement entre l'UE et les États-Unis, les données ne circuleront pas librement.
Même, apparemment, des données « non personnelles ». Ce qui augmente encore les enjeux et risque de transformer la loi sur les données elle-même en une sorte d'outil de négociation du bouclier de protection des données étant donné que, sans un nouvel accord solide de transfert de données entre l'UE et les États-Unis, le changement ne peut être facilité à l'avenir que si les données est transféré d'un fournisseur américain à un fournisseur de l'UE, et non l'inverse.
« Le fait est que nous avons bien sûr l'obligation de nous assurer que la façon dont les choses se déroulent est conforme aux dispositions sur la protection des données ; c'est pourquoi nous pouvons prendre ces décisions d'adéquation », a souligné Vestager. « Cela va au-delà de la loi sur les données. En ce moment, notre collègue Didier Reynders [commissaire à la justice] est dossier principal des négociations avec les États-Unis et du suivi de l'arrêt Schrems II.
«Ainsi, la loi sur les données ne sera pas autonome. Nous poursuivrons ce travail en prenant des décisions d'adéquation avec les juridictions des pays tiers où nous pouvons voir que les choses sont comme elles devraient être."
Le commissaire au marché intérieur, Thierry Breton, a également réitéré le point devant la presse. "L'objectif de la loi sur les données est d'ouvrir et de déverrouiller les données industrielles", a-t-il déclaré. « Il est important que nous donnions des règles et des explications afin que toutes les entreprises, européennes ou non, sachent exactement quelles sont les règles du jeu dans le marché unique de l'UE. Nous donnons cette légitimité.
"Pour les services cloud, nous devons nous assurer que des garanties sont en place pour protéger les données personnelles contre l'accès forcé par un tiers, par exemple un gouvernement étranger, lorsqu'il n'y a pas de protection procédurale ou d'accord international, c'est pourquoi nous en discutons avec notre partenaires pour fixer les règles.
"Cela n'empêche certainement pas le transfert volontaire de données si l'entreprise ou le citoyen le souhaite", a-t-il ajouté. « C'est évident, mais il faut s'en souvenir. La coopération internationale entre les autorités judiciaires et les autorités policières en fait évidemment partie.
Avec les États-Unis, la situation en matière de protection des données n'est certainement pas là où elle "devrait être" en ce qui concerne l'équivalence avec le droit de l'UE tel qu'il est. Au contraire.
C'est pourquoi, ces derniers mois, les régulateurs de la protection des données de toute l'UE ont rendu des décisions d'application impliquant l'utilisation de services majeurs basés aux États-Unis, mais affirmant que l'utilisation doit être conforme à la législation de l'UE (et ce n'est pas le cas actuellement), et qu'il peut donc être nécessaire de rechercher des alternatives, en raison de l'évident écart qui existe.
L'organisme de surveillance français, par exemple, a entamé des travaux pour évaluer des alternatives à Google Analytics pour la mesure et l'analyse de l'audience des sites Web qui peuvent être dispensées de l'obligation d'obtenir le consentement de l'utilisateur.
L'utilisation des services cloud par les organismes du secteur public européen fait également l'objet d'un examen coordonné par le biais d'une action conjointe d'application qui a commencé plus tôt ce mois-ci, se concentrant également sur les préoccupations concernant les transferts internationaux de données.
De plus, bien sûr, une décision majeure se profile encore concernant les flux de données UE-États-Unis de Facebook, qui étaient la cible initiale de Schrems, en 2013.
Une ordonnance de suspension pourrait intervenir dès le mois de mai, selon la responsable de la Commission irlandaise de protection des données (DPC), Helen Dixon, dans un entretien avec Reuters. Bien qu'il ait également précisé que le régulateur irlandais n'émettrait pas d'ordonnances générales en fonction de ce qu'il décide sur Facebook.
"La décision que le DPC prendra en fin de compte concernant Facebook sera spécifique à Facebook et ne s'adressera qu'à Facebook", a-t-il déclaré. « La conséquence de la décision de la CJUE est que nous ne pouvons pas tirer une conclusion plus large et plus radicale. Nous devons procéder entreprise par entreprise », notant en outre qu'il existe « des centaines de milliers d'entités » qui devraient potentiellement être examinées, selon le rapport de Reuters, en commençant par d'autres grandes plateformes Internet.
Le DPC a déjà rendu une ordonnance de suspension préliminaire à Facebook peu après l'arrêt CJUE Schrems II, en septembre 2020, mais le géant de la tech a rapidement obtenu un sursis, avant de perdre sa contestation de la procédure réglementaire devant la Haute Cour d'Irlande en mai dernier.
Et comme nous l'avons signalé plus tôt cette semaine, le DPC a maintenant soumis un projet de décision révisé au parent de Facebook, Meta, donnant à l'entreprise un mois pour répondre.
Après quoi, les autres organismes de surveillance des données de l'UE auront la possibilité d'examiner et éventuellement de contester le projet de décision irlandais, ce qui pourrait ajouter des mois supplémentaires au processus décisionnel. Mais s'il y a un large accord sur tout ce que l'Irlande a conclu, la ligne de Dixon est que "la première fois que nous pourrions avoir une décision finale pourrait être fin mai".
La lenteur de l'application de la loi en Irlande dans les enquêtes sur les géants de la technologie signifie qu'il n'y a absolument aucune chance que d'autres décisions à court terme aboutissent sur la question des transferts de données contre Google.
Cependant, dans toute l'UE, nous voyons d'autres régulateurs prendre des mesures là où ils ont une compétence locale, il peut donc s'agir d'un cas de "mort par milliers de plaintes" contre des outils tels que Google Analytics, pour lesquels il existe des alternatives viables (Facebook n'est-il pas est le seul réseau social mais il est plus contraignant, du fait des effets de réseau et des enjeux de portabilité des données).
Une question brûlante est de savoir s'il y aura un nouveau 'Bouclier de confidentialité 2.0' convenu par l'UE et les États-Unis avant que l'Irlande ne se prononce sur les flux de données Facebook, en supposant qu'il y ait une décision finale de l'Irlande d'ici la fin du mois de mai.
Même s'il existe un accord de base entre les deux parties sur le fond d'un nouvel accord d'ici là, ce calendrier semble serré, et tout nouveau projet d'accord d'adéquation doit encore être adopté par la Commission, qui devra attendre l'avis du Commission européenne pour la protection des données (EDPB).
La dernière fois, après l'invalidation du Safe Harbor en octobre 2015, environ sept mois se sont écoulés entre la publication du projet d'accord Privacy Shield (février 2016) et le mécanisme adopté par la Commission, et enfin la marche de mise en œuvre pour que les entreprises s'autocertifient ( août 2016).
Aunque, en particular, el Grupo de Trabajo 29, también conocido como el organismo compuesto por las agencias de protección de datos de los Estados miembros que desde entonces se transformó en el EDPB, acordó no cortar ninguna transferencia durante el período de análisis del Escudo de Confidentialité.
Meta peut parier sur une période de grâce de mise en œuvre tout aussi généreuse pour tout nouveau bouclier de protection des données, lui permettant de continuer à esquiver une ordonnance de suspension de ses flux de données entre l'UE et les États-Unis.
Cela dit, il n'est pas clair si le CEPD aurait envie de le faire cette fois, étant donné que les demandes sur la question des transferts de données se produisent déjà sans qu'il soit nécessaire d'attendre l'Irlande.
Les 101 plaintes Schrems d'août 2020, délibérément déposées auprès d'agences de toute l'UE pour contrer les achats groupés, l'ont assuré.
Bien sûr, la CJUE est également susceptible d'avoir une vision très négative de tout accord d'adéquation de remplacement qui répète les erreurs du passé. Et la Cour a montré sa capacité à accélérer les délibérations lorsqu'elle perçoit des risques importants pour les droits fondamentaux. Ainsi, alors que Privacy Shield a boité pendant quatre ans, tout remplacement défectueux – appelons-le un «parapluie de confidentialité» – peut avoir une durée de vie encore plus courte avant d'exploser désespérément.
Peut-être le fait marquant : une troisième grève de la CJUE serait une grande gêne pour la Commission, ce qui explique les signaux d'alerte forts de Vestager, au point d'affirmer explicitement qu'il ne veut pas "d'un arrêt Schrems III négatif".
La question de savoir si la Commission reprendra volontairement des flux de métadonnées illégaux est une question particulièrement intéressante.
Ce n'est pas la même entité qui a vécu tout cela la dernière fois. En outre, il s'est lancé dans un ambitieux programme de politique technologique, dont la loi sur les données n'est que la dernière pièce du puzzle, ainsi que de nouveaux plans ambitieux pour apprivoiser le pouvoir de marché des géants de la technologie, mettre à jour les règles du commerce électronique et définir un cadre pour "IA de confiance". , parmi de nombreuses autres mesures législatives, souhaite remodeler l'économie numérique et la société européenne pour stimuler l'économie de l'UE.
On parle alors d'un grand mouvement de « souveraineté numérique ».
Cependant, l'appétit de l'UE pour découvrir ce que signifie la souveraineté numérique dans la pratique pourrait bientôt être mis à l'épreuve du côté commercial de dizaines de flux de données interrompus.
