Privacy Shield 2.0 : un accord de principe… et encore beaucoup de questions


  • La présidente de la Commission européenne, Ursula Von der Leyen, et celui des Etats-Unis, Joe Biden, viennent d'annoncer un accord de principe concernant un nouveau cadre légal au transfert des données entre l'Europe et les Etats-Unis.
  • Une bonne nouvelle pour un marché publicitaire qui attendait, depuis juillet 2020 et l'invalidation du Privacy Shield par la Cour de Justice Européenne, un nouveau cadre légal. 
  • Oui... mais non.

Privacy Shield 2.0, enfin la sortie de l'impasse ? Pas si sûr… Alors oui, la présidente de la Commission européenne, Ursula Von der Leyen, et celui des Etats-Unis, Joe Biden, viennent d'annoncer un accord de principe concernant un nouveau cadre légal au transfert des données entre l'Europe et les Etats-Unis. Et c’est forcément une bonne nouvelle pour un marché publicitaire qui attendait, depuis juillet 2020 et l’invalidation du Privacy Shield par la Cour de Justice Européenne, un nouveau cadre légal. 

Il faut dire que l’enjeu est de taille pour toutes ces entreprises (et elles sont nombreuses) qui ne peuvent pas se passer de toutes les technologies américaines qu'elles utilisent au quotidien, Google Analytics en tête. Depuis que trois entreprises françaises ont été mises à l’amende par la Cnil, mi-février, pour leur utilisation de Google Analytics, ce sont des milliers d’entreprises qui sont sous la menace d’une sanction similaire. Sans pour autant qu'elles se décident vraiment à faire quoi que ce soit.

L'annonce de la présidente de la Commission européenne leur donne enfin un cap. "Nous avons réussi à trouver un équilibre entre les enjeux de sécurité et de protection des données", a assuré Ursula Von der Leyen lors d'une conférence de presse suivant l’annonce. Une conférence de presse au cours de laquelle la présidente a qualifié l'accord conclu d'"équilibré et efficace", rapporte Techcrunch… sans pour autant fournir de détails sur ce qui a réellement été décidé.

C’est bien là tout le problème. On ne sait rien de ce qui a été acté. Et comme le rappelle Max Schrems, cet activiste à l'origine de l'invalidation de la première version du Privacy Shield par la CJUE, on parle seulement d’un accord de principe. “Il n’est même pas sûr que le texte existe”, tempère l’activiste dans une note de blog publiée en réponse à l’annonce. Tout comme il est loin d’être évident qu’il passe les fourches caudines de la CJUE, si celle-ci venait à nouveau à être saisie par noyb. Selon l'association, les États-Unis n'ont pas prévu de modifier leurs lois sur la surveillance, ils se sont simplement contentés de donner des gages de réassurance par l'entremise de leur exécutif. Tant que les Etats-Unis ne donneront pas plus de garantie concernant l'impossibilité pour leurs services de sécurité d'accéder aux données d'utilisateurs européens sans leur consentement (ce qui va à l'encontre du RGPD), rien ne changera. 

"Nous avions déjà un accord purement politique en 2015 qui n'avait aucune base légale, rappelle noyb. Nous pourrions rejouer à ce petit jeu une troisième fois." Et d'assurer que l'accord était surtout un symbole voulu par Ursula Von der Leyen sans que les experts de Bruxelles n'y soient favorables, les États-Unis n'ayant pas modifié d'un iota leur position.

Les choses ne sont donc pas prêtes de se décanter. “On n’a pas le texte final ou d'informations sur la procédure et il faudra un avis du comité européen de la protection des données (CEPD), avant adoption par la Commission”, prévient Sébastien Gantou, fondateur de Digital DPO. Compter au moins 6 mois avant d’espérer voir le texte entrer en vigueur. Et peut-être autant avant qu’il ne soit, à nouveau, invalidé par la CJUE. Les annonceurs peuvent donc ranger le champagne et continuer à réfléchir à des alternatives à Google Analytics. On n’est jamais trop prudent…

Pour plus d'informations sur le contexte règlementaire agité, revisionnez notre émission First View consacrée au sujet.