Un accord de principe voit le jour entre les États-Unis et l’Union européenne concernant le transfert des données à caractère personnel outre-Atlantique. Il a été rendu nécessaire après l’invalidation de Privacy Shield en juillet 2020 par la Cour de Justice de l’UE (CJUE). Tour d’horizon des enjeux et retour sur les épisodes de cette série à rebondissements.
Ce futur accord, qui ne porte pas encore de nom, est censé permettre aux Européens d’avoir le contrôle sur leur vie privée par une véritable protection des données, sans pour autant avoir à sacrifier les entreprises, dont les réseaux sociaux américains. Meta avait ainsi été jusqu’à menacer de couper Facebook et Instagram face aux problématiques liées à la protection des données.
Si la nouvelle semble heureuse pour les deux champs, la prudence s’impose, déjà au regard du bon bout de chemin à parcourir.
Retour vers la base juridique de flux des données
La directive 95/46/CE sur la protection des données personnelles a voulu à la fois libéraliser le flux des données personnelles toute en garantissant leur protection. Dans cette quête d’équilibre entre intérêts économiques et droits et libertés individuels, le texte prévoyait l’encadrement des transferts de cette matière première vers les pays tiers. Il exigeait en substance du pays tiers à l’UE, une protection des données d’un niveau équivalent à celui attendu en Europe.
La Commission européenne s’était alors vue confier la responsabilité de constater qu’un pays tiers assure ce niveau de protection adéquat, à charge de mener des négociations en vue de remédier à la constatation d’un niveau de protection non adéquat.
Cette directive a été remplacée par le règlement de 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le fameux RGPD a mis à jour les garanties en vigueur, face à l’ampleur croissante de flux et des risques concomitants. Ce règlement a une vocation extraterritoriale : il s’applique à toutes les entreprises, peu importe leur localisation, qui traitent des données de personnes en Europe.