Alexandra Iteanu revient sur le nouveau cadre adopté par la Commission européenne ce 10 juillet 2023, ayant pour objet de permettre le transfert de données à caractère personnel de résidents de l’Union européenne aux Etats-Unis, sans encadrement spécifique.

Après les invalidations du Safe Harbor et du Privacy Shield, par deux décisions de la Cour de justice de l’Union Européenne du 6 Octobre 2015 et du 16 Juillet 2020, on attendait qu’un nouveau cadre soit mis en place par la Commission Européenne, aux termes d’un nouvel accord conclu avec le Gouvernement des Etats-Unis.

Pour mémoire, le Règlement n°2016/679 ou Règlement Général sur la Protection des Données, dit RGPD, a pour objectif de donner des garanties aux résidents de l’Union Européenne dans le traitement de leurs données à caractère personnel. Les bénéficiaires de cette réglementation sont les salariés, les contacts des organismes, leurs clients, les citoyens, les parents etc. … c’est à dire vous et moi dans toutes nos activités.

Or, cette protection et ces garanties ne sont pas applicables si les données des personnes concernées sont transférées hors de l’Union Européenne. Le non respect de la règle est susceptible de sanctions administratives par la CNIL voire de sanctions pénales.

Il y a des exceptions à ce principe d’interdiction, en particulier une liste de pays dits adéquats qualifiés par la Commission Européenne car disposant d’une réglementation équivalente au RGPD et d’une autorité indépendante de l’Etat, susceptible de prononcer des sanctions en cas de violation. Ces pays sont une grosse douzaine, parmi lesquels on retrouve, notamment, la Suisse, le Canada, Israël, le Japon.

Mais les Etats-Unis ne peuvent pas être un Etat adéquat car ne il ne dispose pas au niveau fédéral, d’une réglementation en matière de protection des données à caractère personnel.

De ce fait, aucune donnée d’un résident européen, ne peut être transéré de l’Union Européenne dans ce pays, « zone de non droit » en matière données personnelles.

D’où la création très tôt, d’une « exception réservée aux Etats-Unis », par la conclusion d’un accord avec le Department Of Commerce des Etats-Unis d’Amérique, aux termes duquel les autorités américaines rédigeaient une liste d’engagements auxquels pouvaient souscrire volontairement les entreprises sous juridiction américaine, reprenant les grands principes inscrits aujourd’hui dans le RGPD.

Cette adhésion volontaire des Facebook, Google et autres, à cette déclaration, venait les autoriser à exporter des données européennes auprès de ces entreprises.

Une auto-régulation à bon compte, qui ne donnait aucune garantie au résident européen, d’où l’invalidation de ces accords par deux fois, avec le premier accord, appelé Safe Harbor, puis le second dénommé Privacy Shield.

On attendait donc la troisième copie de la Commission Européenne.

Ce 10 Juillet 2023, c’est chose faite.

Interrogée par le Journal du Net dès le lendemain, Alexandra Iteanu réagit à chaud à ce nouveau cadre annoncé.

L’entretien avec Raphael Hazan, est ici.