L’Union Européenne parviendra-t-elle à échanger des données personnelles avec les Etats-Unis ?
Par Bertrand Lemaire | Le | Cybersécurité
Après deux « arrêts Schrems », l’Union Européenne tente une nouvelle fois de s’entendre avec les Etats-Unis au sujet du RGPD. Ce n’est pas gagné.
Patriot Act, Cloud Act… Les législations américaines permettant aux autorités locales, sans contrôle d’un juge, d’aller fouiller dans le cloud se sont multipliées. Or la majorité des acteurs du cloud sont d’origine américaine. En application du RGPD, il est nécessaire que les Etats-Unis soient considérés comme un endroit sûr pour pouvoir y transférer des données personnelles aisément et légalement. Or, après deux « arrêts Schrems », les accords d’adéquation nécessaires entre l’Union Européenne et les Etats-Unis ont été invalidés. Une nouvelle tentative a lieu en ce moment. Et le Comité européen à la protection des données (CEPD) a rendu son avis sur le projet.
En l’état actuel de la législation et des accords internationaux, aucune entreprise ne devrait stocker de données personnelles de citoyens européens dans un cloud américain. Certes, des clauses contractuelles, copiées sur les clauses contractuelles types européennes, peuvent y remédier en une certaine mesure. Mais seul l’accord d’adéquation assurera une sécurité juridique à cette pratique. Or, si les Etats-Unis font des gestes pour tenter d’amadouer les autorités judiciaires européennes, force est de constater que le compte n’y est toujours pas selon le CEPD. Des flous et incohérences dans les textes pourraient bien aboutir, comme attendu, à un arrêt Schrems III invalidant les accords en cours de négociation.
Sur le même sujet :
- 13 octobre 2022 : En attendant Schrems III.
- Sur le site de la CNIL : Transfert de données vers les États-Unis : le CEPD rend son avis sur le projet de décision d’adéquation de la Commission européenne.