Au début du conflit ukrainien, la présidente de la Commission européenne, Ursula von der Leyen, et le président des Etats-Unis, Joe Biden, ont annoncé, le 25 mars, qu’ils étaient parvenus à un accord portant sur un nouveau cadre pour le transfert des données personnelles entre les deux continents. Cette annonce, passée relativement inaperçue, pourrait néanmoins ruiner des années d’efforts pour instaurer une souveraineté numérique européenne.
Le transfert de données personnelles entre l’Europe et les Etats-Unis n’a jamais vraiment été une évidence. Les règles négociées entre l’Union européenne et le département du commerce américain entre 1998 et 2000, dites « Safe Harbor » (« sphère de sécurité »), l’autorisaient, considérant que les Américains offraient des garanties suffisantes quant à la protection de la vie privée. Invalidé par un arrêt de la Cour de justice de l’Union européenne (CJUE) en 2015, cet accord renaissait tel le phénix un an plus tard sous le nom de « Privacy Shield » (« bouclier de protection de la vie privée »). Mais, nouveau coup de tonnerre en 2020, ce dernier est à son tour invalidé par la CJUE, car incompatible avec l’article 5 du règlement général sur la protection des données (RGPD).
Ces revirements successifs font écho à la politique américaine qui n’a cessé d’assouplir ses lois sur la surveillance des données personnelles depuis vingt ans. Chaque évolution – Patriot Act en 2001, amendements au Foreign Intelligence Surveillance Act en 2008, Cloud Act en 2018 – a eu pour conséquence de donner toujours plus de nouveaux pouvoirs aux instances juridiques et gouvernementales sur les données personnelles hébergées par les entreprises américaines, que leurs serveurs soient situés dans le pays ou ailleurs dans le monde. Une vision incompatible avec les règles européennes en matière de protection des données.
La menace de Meta
La fin du Privacy Shield avait durement secoué les géants du numérique américains. Ses premiers effets commençaient à se faire sentir. La Commission nationale de l’informatique et des libertés (CNIL) avait ainsi appelé, en 2021, le gouvernement à écarter le choix de Microsoft Azure pour l’hébergement des données de santé du Health Data Hub, plate-forme centralisée des données médicales des Français. Plus récemment, la CNIL mettait en garde les établissements d’enseignement supérieur quant à l’utilisation des suites collaboratives proposées par les éditeurs américains. Enfin, début février, elle a mis en demeure un éditeur de site Web utilisant Google Analytics, considérant le transfert de ces données vers les Etats-Unis comme illégal.
Il vous reste 49.57% de cet article à lire. La suite est réservée aux abonnés.