Suite à l’annulation du Privacy Shield en juillet dernier, l’UE et les États-Unis négocient un nouvel accord pour le transfert de données. Pour rappel, les deux précédents accords avaient été annulés par la Cour de Justice de l’Union Européenne en raison des lois américaines de surveillance.

Mi-septembre, une délégation américaine dirigée par les responsables du Conseil national de sécurité s’est rendue à Bruxelles afin de négocier un nouvel accord sur le transfert de données entre les États-Unis et l’Europe. Avant cela, une précédente session s’était déroulée aux États-Unis durant l’été.

Ces discussions font suite à une décision de la Cour de Justice de l’Union Européenne d’invalider l’accord “Privacy Shield” de 2016 qui encadrait les transferts de données entre l’ancien et le nouveau monde. Le Privacy Shield remplaçait lui-même l’accord “Safe Harbor” précédemment cassé en 2015, également par la Cour de Justice de l’Union Européenne.

L’Union Européenne autorise les transferts de données personnelles des citoyens européens vers des pays ayant un même niveau de protection que l’UE. Ce n’est évidemment pas le cas aux États-Unis, d’autant plus depuis la signature du Cloud Act (Clarifying Lawful Overseas Use of Data Act) en 2018. Ce texte autorise l’accès aux données hébergées par des opérateurs télécoms et des fournisseurs de services cloud américains par les autorités américaines, même si ces données sont localisées hors du pays et appartiennent à des organismes et personnes étrangers. La signature de cet acte a donc naturellement poussé la Cour de Justice de l’UE à invalider le Privacy Shield.

Pour l’heure, la Cour de Justice de l’UE a accordé des exceptions et un délai à l’invalidation du Privacy Shield afin d’éviter une interruption de transfert de données et de pénaliser les entreprises américaines stockant des données européennes aux États-Unis. Ces mesures sont toutefois provisoires et il est donc important que les deux gouvernements, européens et américains, trouvent un accord au plus vite.

En absence d’accord, le texte affecterait toutes les entreprises Tech aux lois américaines de surveillance, à savoir la publicité, les réseaux sociaux ou encore le cloud. Selon des estimations de juillet 2020, l’activité de 5 300 entreprises est menacée, ce qui représente plusieurs milliards de dollars. Facebook, qui a reçu un avant-projet d’ordonnance visant à suspendre tout transfert de données personnelles, a prévenu qu’il serait incapable d’exploiter des parties importantes de son activité en Europe dans le cas où cette ordonnance entrait en vigueur.

Un responsable du gouvernement américain a déclaré au Wall Street Journal que les deux parties “travaillent ensemble pour faire progresser notre engagement en faveur de la vie privée, protéger les données et empêcher les perturbations qui nuiront aux entreprises et aux familles américaines chez nous”. Un projet de loi fédérale bipartie portant sur la confidentialité des données a été déposé aux États-Unis. En cas d’adoption, il pourrait porter le niveau de protection des données américaines au niveau des normes européennes et donc annuler le problème. Dans le cas contraire, l’issu du dossier dépendra de la volonté des deux partis à faire des concessions.