Les flux de données entre l’UE et les États-Unis suscitent des craintes en matière de confidentialité et une incertitude commerciale

Un nouvel accord sur les transferts de données entre l’UE et les États-Unis a alarmé les entreprises et les militants de la protection de la vie privée.

Le pacte, connu sous le nom de cadre de confidentialité des données UE-États-Unis, a été annoncé lundi par la Commission européenne. L’organe exécutif de l’UE a conclu que les États-Unis offraient un « niveau de protection adéquat » pour données transferts dans le cadre des nouvelles dispositions.

Le cadre remplace le Privacy Shield, que le plus haut tribunal de l’UE avait annulé en juillet 2020, craignant que les États-Unis n’offrent pas une protection suffisante contre la surveillance gouvernementale.

En conséquence, les entreprises ont été contraintes de déplacer des données en utilisant un mécanisme appelé clauses contractuelles types (SCC), qui peut être fastidieux à gérer. Comme Meta l’a récemment appris, le processus pourrait également avoir des conséquences coûteuses.

En juin, le propriétaire de Facebook a été condamné à une amende de 1,2 milliard d’euros pour mauvaise gestion des informations personnelles dans le cadre des SCC – une sanction record pour une violation du RGPD. Meta a décrit la décision comme « injustifiée et inutile ».

Dans le cadre du nouveau cadre, les entreprises se voient offrir l’espoir de flux de données plus clairs et plus faciles pour les entreprises. L’accord ajoute également de nouvelles garanties, notamment une nouvelle cour de révision pour la protection des données et un accès restreint aux données de l’UE par les services de renseignement américains.

Pourtant, les critiques disent que les nouvelles dispositions offrent une sécurité insuffisante. Ils notent que le quatrième amendement ne s’applique toujours pas aux citoyens de l’UE, ce qui les protégerait de l’espionnage du gouvernement américain en vertu de la législation américaine existante.

« [The framework] limite les agences d’espionnage américaines à ce qui est « nécessaire et proportionné », mais cela ne rassure pas les citoyens de l’UE qui se souviennent de promesses similaires dans le cadre de la sphère de sécurité et du bouclier de protection des données », a déclaré Paul Bischoff, défenseur de la vie privée des consommateurs chez la cyber-sécurité placer Comparitech.

Une autre source de préoccupation est la possibilité de nouveaux changements. Le confidentialité Le militant Max Schrems, qui avait précédemment contesté les accords de partage de données entre les États-Unis et l’UE, a déjà menacé de poursuites judiciaires contre le nouveau cadre.

En conséquence, les entreprises doivent désormais s’adapter à un autre ensemble de règles qui pourraient également être annulées.

« Le fait que l’accord ait déjà été contesté avec succès à deux reprises signifie qu’il existe un risque réel qu’il soit à nouveau invalidé, laissant les entreprises encore plus dans l’ignorance quant à la manière d’aller de l’avant », a déclaré Cory Munchbach, PDG de la plateforme de données client. BlueConic.

Le défi de Schrems et sa vie privée à but non lucratif, nuit (None Of Your Business), pourrait conduire à bouleverser le cadre d’ici quelques années.

David Dumont, avocat à Hunton Andrews Kurthspécialisé dans le droit européen de la protection de la vie privée, avertit que les entreprises ont besoin d’être rassurées sur le fait qu’elles peuvent compter sur les nouvelles règles.

« Si la nouvelle décision d’adéquation devait, une fois de plus, être annulée par la Cour de justice de l’UE, les organisations pourraient perdre confiance dans la faisabilité d’un cadre de transfert de données réussi entre l’UE et les États-Unis et se tourner vers les clauses contractuelles types de l’UE comme leur seule et unique solution. solution permanente pour légitimer les transferts de données vers les États.