Privacy Shield – Une épée de Damoclès pour les entreprises
Un très grand nombre d’entreprises belges et européennes sont très fortement impactées par l’invalidation du « bouclier de protection des données », mieux connu sous le nom de Privacy Shield, et ses conséquences sur les transferts de données vers les États-Unis. Une solution doit être trouvée en urgence afin d’assurer la sécurité juridique nécessaire aux entreprises pour continuer à exercer leurs activités.
Pour rappel, en juillet 2020, la justice européenne a invalidé le Privacy Shield – un mécanisme crucial permettant le transfert de données personnelles entre l’Union européenne et les États-Unis. Autrement dit, ce mécanisme ne constitue plus une garantie juridique suffisante et les entreprises qui transfèrent des données dans le cadre de leurs activités se retrouvent face à une situation d’insécurité juridique inacceptable.
Il ne faut pas oublier que l'Europe dépend des flux de données. De nombreuses entreprises européennes effectuent, directement ou indirectement, des transferts pour se développer en Europe et sur la scène internationale. Qu’il s’agisse des données des consommateurs qui achètent des produits ou des services par l'intermédiaire de leur compte bancaire, des données relatives à la recherche médicale ou encore – pour coller à l’actualité ! – aux fournisseurs qui collaborent pour surmonter la crise sanitaire. Ces transferts touchent tout le monde, dans une variété infinie de domaines : le responsable du personnel qui rémunère les employés, le négociant agricole qui soutient la chaîne d'approvisionnement alimentaire, le voyageur qui réserve un vol, le demandeur d'emploi qui sollicite, le fabricant qui ajoute de la valeur aux chaînes de valeur industrielles, la PME qui lance une campagne de marketing pour une nouvelle marque, l’assureur qui gère des réclamations « clients » ou l'expert qui analyse des statistiques pour soutenir les services publics… Des tâches aussi simples que l'envoi d'un courrier électronique reposent sur des flux transfrontières de données !
Des alternatives… qui n’en sont pas
Les entreprises européennes qui transfèrent des données vers les États-Unis doivent, à ce jour, trouver des alternatives au privacy shield, telles que les clauses contractuelles types proposées par la Commission européenne ou encore les règles d’entreprises contraignantes au sein d’un groupe d’entreprises.
Dans certains cas cependant, ces alternatives sont difficiles à mettre en place rapidement et efficacement, voire impossibles à utiliser.
En outre, les entreprises doivent maintenant également vérifier que ces clauses contractuelles et ces règles d’entreprises garantissent effectivement un niveau de protection adéquat (assessment nécessaire). À défaut d’être assurées de cette conformité, elles doivent prévoir des mesures supplémentaires. Et les mesures supplémentaires – qu’elles soient d’ordre contractuel et/ou technique (anonymisation, encryption, pseudonimisation, etc.) – visant à réduire les risques d’accès aux données par un gouvernement de pays tiers sont presque toujours difficiles à organiser.
Outre les difficultés inextricables auxquelles se trouvent confrontées bon nombre d’entreprises et les risques juridiques qu’elles encourent, l’absence de solution simple et efficace dans le cadre de transferts de données avec les États-Unis risque d’affecter non seulement les possibilités pour l'Europe d'entrer sur les marchés internationaux, mais aussi – inversement – les investissements de ces derniers sur le marché européen et la capacité à offrir aux Européens les services et produits qu’ils demandent.
Malgré les efforts déployés par bon nombre d’acteurs européens, par le Comité européen de la protection des données (EDPB), les États membres et l’Autorité de protection des données (APD) belge, l’Europe semble encore loin de la mise en place d’une solution structurelle réaliste pour mettre fin au problème et à l’insécurité qu’il génère. Or, tant que l’Europe n’aura pas trouvé une solution raisonnable pour arriver aux mêmes effets que le privacy shield, il faut protéger les entreprises
Protéger les entreprises contre d’éventuelles sanctions
Les entreprises doivent disposer à très court terme d’un cadre juridique clair et pouvoir continuer à effectuer des traitements de données, en ce compris le transfert de celles-ci, en conformité avec le RGPD et en toute sécurité juridique, et ce même en l’absence d’une décision d’adéquation et du Privacy Shield.
La FEB demande donc que les autorités belges et européennes prennent leurs responsabilités. Il est urgent qu’un nouveau Privacy Shield soit négocié entre l’Union européenne et les États-Unis. En outre, tant que ce nouveau Privacy Shield ne sera pas mis en place et tant qu’il n’existe pas d’alternative structurelle à ce mécanisme, il est impératif de permettre le fonctionnement normal des entreprises avec les moyens existants.
La FEB plaide donc pour l’instauration d’une période de grâce ou pour l’instauration d’un mécanisme, quel qu’il soit, qui protège les entreprises qui exportent des données contre d’éventuelles sanctions.