Comment le nouveau décret du président Biden affecte les entreprises

Le président des États-Unis, Joe Biden, a signé ce mois-ci un décret exécutif pour mettre en œuvre le cadre de confidentialité des données de l'Union européenne (UE) et des États-Unis connu sous le nom de Privacy Shield 2.0.

Privacy Shield 2.0 rétablit une voie légale pour que les données personnelles circulent des États-Unis vers l'Europe. Le décret exécutif fait suite à plus d'un an de pourparlers entre les négociateurs américains et européens.

De plus, Privacy Shield 2.0 fait suite à deux rejets de précédents accords de transfert de données transatlantiques par la Cour de justice de l'UE - l'un en 2015 et l'autre en 2020.

Pour mieux comprendre ce que le nouveau cadre de confidentialité des données signifie pour les entreprises, il est utile de savoir comment et pourquoi l'accord Privacy Shield 2.0 a été conclu en premier lieu.

Voici une chronologie des événements menant à la signature du décret, suivie d'une analyse de la manière dont le cadre peut aider les entreprises.

Privacy Shield 2.0 : Chronologie des événements

• 2000 : Les États-Unis et l'UE établissent le Safe Harbor Framework pour protéger les transferts de données entre les États-Unis et l'Europe.
• 2013 : Edward Snowden dénonce un programme de surveillance de masse aux États-Unis appelé PRISM.
• 2014 : Max Schrems, militant européen de la protection de la vie privée, dépose une plainte contre Facebook auprès du commissaire irlandais à la protection des données. L'affaire est connue sous le nom de Schrems I.
  • Les lois européennes sur la protection de la vie privée interdisent les transferts de données vers des pays non membres de l'UE, sauf si l'entreprise peut garantir une protection adéquate.
  • La plainte initiale a été rejetée et il a fait appel de la décision devant la Cour de justice de l'UE.
• 2015 : La Cour de justice de l'UE déclare que le cadre de la sphère de sécurité entre les États-Unis et l'UE n'est plus suffisant en raison du programme de surveillance PRISM.
  • La décision signifie que le transfert de données personnelles entre l'UE et les États-Unis n'était plus autorisé .
• 2016 : Les États-Unis et l'UE adoptent un autre accord de transfert de données appelé Privacy Shield.
  • L'accord est resté en place pendant quatre ans avant que Schrems ne dépose une autre affaire connue sous le nom de Schrems II.
• 2020 : Schrems remporte son deuxième procès. La Cour de justice de l'UE annule le Privacy Shield 1.0 après avoir décidé que les programmes de surveillance américains vont au-delà de ce qui est nécessaire et proportionné.
• 2022 : Le 25 mars, le président américain Joe Biden et la présidente de la Commission européenne Ursula von der Leyen ont signé un accord politique sur un nouveau cadre transatlantique de confidentialité des données. L'accord est appelé Privacy Shield 2.0.
• 2022 : Le 6 octobre, le président Biden a signé un décret exécutif pour mettre en œuvre le Privacy Shield 2.0.

Le nouvel accord-cadre transatlantique sur la confidentialité des données de Biden et Von der Leyen promet de mettre en œuvre de nouvelles garanties pour garantir que les activités de renseignement américaines sont "nécessaires et proportionnées à la poursuite d'objectifs provocants de sécurité nationale".

Le nouveau cadre permettra également aux citoyens de l'UE de prendre des mesures s'ils pensent que les activités de renseignement américaines les visent illégalement.

Privacy Shield 2.0 permet aux citoyens de l'UE de porter plainte contre la confidentialité devant un tribunal de révision de la protection des données composé de personnes extérieures au gouvernement américain. La cour de révision a la décision finale sur l'utilisation légale des données.

Que signifie Privacy Sheild 2.0 pour les entreprises ?

De nombreuses entreprises présentes aux États-Unis et en Europe soutiennent le Privacy Shield 2.0, car il renouvelle une relation de protection des données d'une valeur de 7,1 billions de dollars américains.

Meta est l'une de ces entreprises, ce qui est ironique étant donné que le traitement des données personnelles par Facebook a conduit à l'annulation de l'ancien cadre.

Nick Clegg, président des affaires mondiales de Meta, déclare sur Twitter (en réponse à l'annonce de la signature du décret par Biden) :

"Nous nous félicitons de cette mise à jour de la loi américaine qui contribuera à préserver l'internet ouvert et à garder les familles, les entreprises et les communautés connectées, où qu'elles se trouvent dans le monde."

Les données personnelles sont très précieuses pour les entreprises dont les annonceurs utilisent ces données, il n'est donc pas surprenant que Meta favorise la réouverture du pipeline de données.

Les entreprises américaines diffusant des publicités sur Facebook pourraient bénéficier de la possibilité de proposer des publicités plus personnalisées aux clients européens.

À cette fin, le cadre peut aider toutes les entreprises basées aux États-Unis qui font des affaires à l'étranger. Les données sont l'élément vital de toute campagne de marketing et de publicité réussie, et les entreprises américaines peuvent désormais collecter légalement davantage de données auprès de leur public européen.

Linda Moore, présidente et chef de la direction du groupe industriel TechNet, a également déclaré son soutien au Privacy Shield 2.0 :

"Nous félicitons l'administration Biden d'avoir pris des mesures positives pour garantir l'efficience et l'efficacité des flux de données transfrontaliers américains et européens et nous continuerons à travailler avec l'administration et les membres du Congrès des deux parties pour adopter un projet de loi fédéral sur la confidentialité."

Pour illustrer davantage ce que ce cadre signifie pour les entreprises, il est important de souligner ce qu'elles risquent de perdre sans un accord de confidentialité des données.

Mikołaj Barczentewicz, chercheur principal au Centre international de droit et d'économie (ICLE), souligne les implications d'un report supplémentaire de l'accord :

"Il est urgent de parvenir rapidement à un accord sur un bouclier de protection des données efficace, car les citoyens de l'UE sont déjà confrontés au risque de perdre l'accès à des services tels que Google Analytics et Facebook, sans parler de la perturbation potentielle des services financiers tels que les réseaux d'assurance et de paiement.

Ce qui sera crucial, c'est que la proposition américaine aborde les deux aspects que l'UE s'attend à voir couverts : la réparation pour les citoyens européens et l'assurance que les pratiques américaines de surveillance des données sont « nécessaires et proportionnées ». Nous pouvons espérer que les tribunaux de l'UE seront raisonnables, mais les litiges sont presque certains.

Que se passe-t-il ensuite ?

Le décret signé par le président Biden va maintenant être soumis à un processus de ratification par la Commission européenne.

On ne sait pas combien de temps le processus prendra, car le décret exécutif pourrait faire face à des contestations judiciaires en Europe.

Nous continuerons à suivre cette histoire et fournirons une mise à jour lorsque plus d'informations seront disponibles.

Sources complémentaires : Whitehouse.gov (1, 2), IAPP.org, ec.europa.eu.

Image en vedette : J_UK/Shutterstock