Peut-on transférer des données aux Etats-Unis en 2021 ?

Article rédigé par F. Badreau

Le RGPD est clair : par principe les transferts de données personnelles hors de l’Espace Economique Européen sont interdits. Tout principe juridique ayant ses exceptions, il est évidemment possible de réaliser des transferts moyennant la mise en place des mécanismes juridiques proposés par le RGPD.
Les échanges commerciaux et donc les transferts de données étant incommensurables avec les Etats-Unis, des accords avaient été mis en place avec l’Union Européenne afin de faciliter les transferts : le Safe Harbor d’abord, invalidé en 2015 par la Cour de Justice de l’Union Européenne dans l’arrêt Schrems et remplacé par une nouvelle décision d’adéquation : le Privacy Shield. Ce dernier facilitait le transfert de données personnelles de l’UE vers des sociétés américaines qui adhéraient aux principes de sécurité des données personnelles institué par ce bouclier. Cependant, l’arrêt Schrems a été suivi par l’arrêt Schrems II qui, en juillet 2020, invalide le Privacy Shield en énonçant que le niveau de sécurité ne correspond pas aux standards attendus par le RGPD. En effet, la CJUE reproche aux USA sa loi Foreign Intelligence Service Acte, une loi qui pour des raisons de sécurité nationale, permet aux autorités publiques américaines d’accéder aux données personnelles des résidents européens transférées aux Etats-Unis. Par conséquent, tous les transferts de données réalisés vers les USA sous le régime du Privacy Shield sont devenus illégaux.

D’autres outils permettent le transfert vers des pays hors de l’UE comme la signature de clauses contractuelles types ou celle de Binding Corporates Rules (règles contraignantes d’entreprises). Cependant, le problème restera le même qu’avec le Privacy Shield : rien ne garantit que les autorités américaines n’accèdent pas aux données personnelles des citoyens européens. Alors faut-il stopper tout transfert avec les USA sous peine de ne pas respecter le RGPD et d’entraver la sécurité des données ? On peut se fier aux recommandations du Comité Européen de la Protection des Données (CEPD) qui à la suite de l’arrêt Schrems II a recommandé certaines mesures à mettre en place pour le responsable de traitement souhaitant transférer tout de même ses données aux USA. Ainsi, la plateforme française de réservations de rendez-vous médicaux Doctolib, notamment choisie par l’Etat pour la prise des rendez-vous pour les vaccins contre le Covid, a affirmé que ses données, stockées chez Amazon Web Services (AWS), sont chiffrées avec une clé spécifique conservée par leur soin. L’antenne Luxembourgeoise d’AWS a quant à elle affirmé qu’elle contesterait toute demande d’accès aux données des autorités américaines et s’engagerait à ne divulguer que le minimum d’informations. Reste à savoir comment ces sociétés, aussi puissantes commercialement soient-elles, comptent s’opposer au géant américain.

Source image : Pixabay