Fin du Privacy Shield : quel avenir pour nos données ?

Numéro de téléphone, adresse, ou encore coordonnées bancaires : nombreuses sont les informations personnelles pouvant être divulguées lorsque nous effectuons un achat en ligne. Mais que deviennent ces données dès lors qu’elles ont été transférées ? Comment sont-elles protégées ?

En mai 2016, est lancé le Privacy Shield (ou “Privacy Shield UE-US”), un accord visant à sécuriser les données des citoyens de l’Union européenne collectées et traitées par des entreprises américaines. Cette réglementation avait notamment vocation à protéger les informations à caractère personnel, souvent récoltées sur les sites e-commerce.
Jusqu’en 2020, toute société américaine pouvait faire l’objet d’une certification dans le cadre du Privacy Shield. Cette certification garantissait un certain nombre de droits aux citoyens européens concernant la diffusion de données personnelles. Parmi ces droits, l’on retrouvait le droit à l’information et à la divulgation (qui peut utiliser mes données et pour quelles raisons ?), à l’opposition (contre le traitement de certaines données par exemple), à la suppression, ou encore de rectification des informations erronées. Des procédures de recours, pouvant aller jusqu’au dépôt de plainte, étaient également disponibles en cas de litige, avec la possibilité de contacter l’entreprise concernée ou les autorités nationales de protection des données pour faire valoir ses droits.

Le Privacy Shield a cependant été déclaré invalide en juillet 2020 par l’arrêt Schrems II (nommé d’après l’expert autrichien en protection des données Maximilian Schrems) de la Cour de justice de l’Union européenne. Deux raisons ont conduit à son invalidité : d’une part, le Privacy Shield ne pouvait certifier un degré de protection des données conforme au RGPD (Règlement Général sur la Protection des Données), et d’autre part, les exigences de sécurité nationale des États-Unis (en matière de lutte contre le terrorisme par exemple) ont été jugées comme prioritaires.

Bien que le Privacy Shield ne soit plus applicable aujourd’hui, le transfert de données des sociétés européennes vers les États-Unis demeure toujours possible grâce aux clauses contractuelles standard européennes (SCC) : celles-ci font office d’intermédiaire pour les entreprises américaines dans le cadre de l’exportation de données depuis l’Union européenne.

Depuis l’invalidation du Privacy Shield, les entreprises européennes doivent redoubler de vigilance et prendre des précautions supplémentaires avant chaque envoi d’informations. Du côté américain, chaque flux de données fait l’objet d’un diagnostic strict : le niveau de sécurité du pays duquel proviennent les informations doit être évalué afin d’assurer la sûreté du transfert. Cette procédure est particulièrement complexe à mettre en œuvre pour les petites et moyennes entreprises, qui manquent souvent des ressources techniques nécessaires.

Avec la fin du Privacy Shield, une prise de conscience s’éveille progressivement en matière de protection des données, ainsi que sur la nécessité de collaborer avec les autorités compétentes. Le CEPD (Comité Européen de la Protection des Données) a par ailleurs publié, le 10 novembre 2020, des recommandations destinées aux entreprises sur les mesures permettant de veiller à la sécurité des transferts d’informations de l’Union européenne vers les États-Unis.