L’accord entre l’Europe et les Etats-Unis sur la protection des données personnelles n’est pas valide

Le règlement général sur la protection des données (RGPD) est entré en application au sein de l’Union européenne le 25 mai 2018. Le but de ce règlement est de protéger les données personnelles se rapportant à une personne physique (collecte, traitement, transfert…). Il est très dissuasif puisqu’il est assorti d’amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de la structure contrevenante. Si la protection des droits des personnes est néanmoins encore loin d’être parfaite dans le périmètre d’application du RGPD (voir IE), la question se pose surtout en dehors de l’Union. Le transfert des données vers les Etats-Unis – pays très friand de données – était autorisé, à certaines conditions, dans le cadre du « Privacy Shield » (bouclier de protection des données UE – Etats-Unis). Mais le 16 juillet, la Cour de justice de l’Union européenne (CJUE) a invalidé ce mécanisme.

La Cour estime que les programmes de surveillance en vigueur aux Etats-Unis sont incompatibles avec les principes du RGPD pour deux raisons principales. Premièrement, ces programmes permettent aux autorités américaines d’avoir un très large accès aux données traitées par les entreprises. Deuxièmement, les citoyens européens ne disposent pas aux Etats-Unis d’un recours leur offrant la possibilité de maîtriser pleinement leurs données personnelles. A ce stade, les entreprises pourront toujours utiliser les clauses contractuelles types. Mais chaque entreprise procédant à des transferts devra évaluer si les données personnelles sont suffisamment protégées dans le pays destinataire. Dans les faits, la démarche s’avère délicate vers les Etats-Unis, surtout après la décision de la CJUE. Dans un communiqué du 10 août, l’agence Reuters a indiqué que le département américain du Commerce et la Commission européenne avaient entamé des discussions sur les modalités de création d’un cadre de confidentialité conforme à l’arrêt de la CJUE.