Rechercher
Generic filters

Le Blog Chapsvision

Annulation du Privacy Shield : une occasion de regagner notre souveraineté numérique européenne

La crise du Covid-19 a été une véritable mise en lumière de notre dépendance aux outils numériques pour assurer la continuité d’activité. Et cette dépendance se ressent principalement aux géants de l’industrie : les GAFAM (Google, Apple, Facebook, Amazon, Microsoft). Elles font partie des rares entreprises à avoir pu augmenter leurs chiffres d’affaires pendant la crise, au-delà même des prévisions sur la période. Or, ces organisations sont américaines et, au même titre que la crise des masques que la France a connu au début de la crise sanitaire, notre dépendance à des systèmes étrangers présente un risque réel sur notre indépendance et notre résilience, mais souligne surtout notre manque cruel de souveraineté numérique. Cette souveraineté numérique ne peut être recherchée et observée que par le truchement de l’Union Européenne du fait de la polarisation et de la consolidation du marché existant, principalement tenu par les Etats-Unis et la Chine.

La Souveraineté Numérique : un enjeu stratégique pour l’Europe

Traditionnellement la souveraineté se définit par le pouvoir suprême reconnu à l’État, qui implique l’exclusivité de sa compétence sur le territoire national et son indépendance absolue dans l’ordre international où il n’est limité que par ses propres engagements. La souveraineté numérique se définit par conséquent au regard de la maîtrise de la chaîne de production et des enjeux politiques et économiques du domaine. Et le marché numérique européen ne peut se targuer de maîtriser sa chaîne de production. Rares sont les compagnies du numérique leader de leur domaine dont le siège social se situe en Europe et qui font figure de proue dans les technologies du numérique. Cette fragilité, l’Union Européenne en a conscience et base sa stratégie de reconquête de la souveraineté numérique sur l’enjeu principal de ce domaine : la maîtrise des données.

Privacy Shield : un accord de transfert de données controversé entre les États-Unis et l’Union Européenne

Ce sujet fut pris à cœur très tôt par l’Union Européenne avec la publication d’une directive en 1995 posant le cadre juridique de traitement des données personnelles. La directive encadrait le transfert des données à l’étranger duquel a découlé la validation d’un cadre de transfert avec les Etats-Unis intitulé Safe Harbor. Ce mécanisme a été annulé par une décision de la Cour de Justice de l’Union Européenne en 2015 et un remplaçant fut mis en place deux mois après l’entrée en vigueur du RGPD : le Privacy Shield. Le bouclier de protection fonctionne sur un système déclaratif de respect aux exigences du texte avec des moyens de contrôle de cette conformité. Mais ce système est critiqué dés son entrée en application, notamment par le G29. En cause, un manque de clarté dans la documentation, une inégalité dans l’effectivité des droits entre l’Union Européenne et les Etats-Unis et enfin le manque d’encadrement réel de collecte massive de données par les services de renseignements américains. Et en effet les inquiétudes soulevées furent portées devant la Cour de Justice de l’Union Européenne qui a rendu sa décision le 16 juillet 2020.

En l’espèce, Maximillian Schrems, ressortissant autrichien et fondateur de l’association None Of Your Business (NOYB), souhaitait que Facebook Ireland ne transfert pas ses données à Facebook Inc. basé aux Etats-Unis. Or le transfert des données ne se base pas sur le mécanisme Privacy Shield mais sur les clauses contractuelles types, validé par la Commission, pour transférer des données outre atlantique. Cependant le demandeur soutient que ce fondement ne respecte pas la protection des données personnelles en ce que la législation de la première puissance mondiale autorise la mise à disposition par les opérateurs de télécommunications des données personnelles des ressortissants de l’Union Européenne aux autorités américaines. La juridiction irlandaise ayant soumis les questions préjudicielles souhaite également savoir dans quelle mesure une autorité de contrôle d’un Etat membre est liée par les constatations du Privacy Shield selon lesquelles les Etats-Unis assurent un niveau de protection adéquat et remettant en cause le mécanisme même d’adéquation.

A titre liminaire, il convient de souligner que la Cour n’analyse pas le traitement des données effectuées par les autorités américaines dans le cadre du Cloud Act et de son extraterritorialité. Or ce texte est une véritable ingérence sur le territoire européen puisqu’il permet aux autorités américaines d’exiger des opérateurs économiques ayant leur siège social aux Etats-Unis de transmettre l’intégralité des données d’une personne donnée.  Mais la juridiction suprême de l’Union Européenne n’a pas besoin de ces éléments pour acter la fin du Privacy Shield.

La Cour constate que la Commission a considéré que les Etats-Unis présentaient un niveau de protection adéquat malgré l’existence des programmes de surveillance PRISM et UPSTREAM, ce que la juridiction dénonce. Elle souligne en effet que le cadre juridique des programmes de surveillance ne présente pas de droits opposables aux personnes concernées rendant alors bancales la décision d’adéquation de la Commission et annulant le Privacy Shield.

Comme lors de l’arrêt de 2015, cette décision est un tour de force juridique, mais également politique. Le marché du numérique mondial est aujourd’hui polarisé entre deux acteurs majeurs et dont les contours d’une guerre économique se dessine, les Etats-Unis et la Chine. L’annulation de ce mécanisme n’empêche effectivement pas le transfert des données vers le territoire américain, puisqu’il est possible d’avoir recours aux clauses contractuelles types, mais elle complexifie ce transfert et incite indirectement à l’évolution du marché intérieur pour favoriser l’émergence d’alternative purement européenne.

NP6 affirme son engagement pour une meilleure souveraineté numérique en France et en Europe

NP6 s’inscrit dans cette démarche et prône la maîtrise des données sur un territoire dont la réglementation est respectueuse des droits et libertés des personnes. Notre entreprise s’investit également dans la reconnaissance d’alternative française et européenne crédible face aux géants américains et chinois. Mais cette alternative a besoin de soutien et de reconnaissance. Ainsi, NP6 affirme son engagement pour une meilleure souveraineté numérique en France et en Europe en rejoignant le collectif PlayFrance.Digital, qui recense plus de 300 entreprises de tous les secteurs d’activités du numérique capables de fournir des services analogues aux géants du marché. En parallèle, une initiative équivalente au niveau européen est en cours, avec comme objectifs de développer une culture d’émancipation numérique, de résilience, de durabilité et de protection à travers l’Europe. Enfin, pour constamment assurer le meilleur standard de respect de la vie privée des personnes concernées, NP6 héberge l’ensemble des données sur le territoire européen et s’efforce de ne faire appel qu’à des sous-traitants européens présentant les mêmes valeurs.