Actu
Privacy Shield : les entreprises dans l’incertitude après l’annonce de la commission européenne
avril 2016 par Marc Désenfant, Directeur Général ACTITO
Alors que le débat sur la protection des données personnelles ressurgit aux Etats-Unis avec le face-à-face qui a opposé Apple au FBI, la question se pose toujours avec insistance en Europe malgré l’annonce récente d’un « privacy shield » par la commission européenne. Personne ne sait encore ce que contiendra cet accord censé remplacer prochainement le « Safe Harbor », invalidé en novembre 2015 par la cour de justice de l’union européenne. Face à cette incertitude, quelle attitude doivent adopter les entreprises européennes ?
La fin du Safe Harbor : entrée dans une zone de flou juridique
L’accord dit de « Safe Harbor », qui encadrait le traitement des données personnelles des citoyens européens par les sociétés américaines, a été invalidé suite aux procédures lancées par le juriste et militant autrichien Max Schrems contre Facebook. Déjà remis en question par les révélations d’Edward Snowden sur l’espionnage généralisé pratiqué par la NSA, il permettait notamment aux entreprises américaines de s’auto-décerner une certification de protection des données. Depuis son invalidation, de nombreuses entreprises s’inquiètent du flou juridique dans lequel elles se trouvent désormais et attendent avec fébrilité les annonces de la commission européenne à ce sujet.
Un accord de principe sans garantie réelle
Mais la présentation le 2 février d’un accord-cadre en vue de la mise en place d’un « privacy shield » n’a convaincu personne. Les CNIL européennes et les associations de défense de la vie privée ont unanimement critiqué son inconsistance et l’absence de mesures concrètes dans le texte présenté. La situation est donc toujours aussi incertaine pour les entreprises qui ne peuvent pour l’instant que rassurer leurs clients en affirmant que leurs données sont hébergées sur leur territoire national, ce qui ne convainc personne puisque les sociétés américaines peuvent livrer au gouvernement l’ensemble des données qui leur sont confiées, quelle que soit leur localisation.
Les entreprises européennes juridiquement vulnérables
Cette situation d’incertitude est d’autant plus critique pour les entreprises françaises que les commissions nationales de protection de la vie privée, dont la CNIL en France, ont d’ores et déjà annoncé qu’elles devraient prendre en compte les attaques en justice de citoyens à leur encontre. Ces poursuites pourront donc donner lieu à la condamnation de sociétés européennes, dont les données clients seraient partagées avec des acteurs américains, à des amendes d’un montant conséquent. En Allemagne, certaines CNIL ont d’ores et déjà entamé des poursuites à l’égard de certaines entreprises et envisagent de leur imposer des amendes.
La prudence face à l’incertitude
Face à un tel risque, les entreprises françaises ont donc tout intérêt à adopter une attitude prudente et à privilégier les partenariats au sein de l’union européenne. L’objectif n’est bien sûr pas de tomber dans un protectionnisme radical et anachronique, qui pourrait être nuisible aux entreprises des deux côtés de l’atlantique, mais bien plutôt de réduire les risques de poursuites en renforçant les liens intra-européens. Une solution bien sûr provisoire, dans l’attente de la présentation de l’accord final qui saura peut-être convaincre les instances de protection de la vie privée.
