Une opinion de Jacques Folon, professeur à l'Ichec, délégué à la protection des données (DPO) et spécialiste du RGPD.

Depuis le 16 juillet 2020, il est désormais illégal de transférer des données vers des sociétés américaines (et leurs filiales européennes), qu’elles s’appellent Microsoft, SalesForce, MailChimp, Amazon, Apple, Cisco, Zoom, et j’en passe. En effet, la Cour de justice de l’Union européenne (CJUE) a annulé de façon extrêmement claire l’accord EU-USA qui jusqu’alors permettait ces transferts. Et les conséquences pour les organisations européennes sont gigantesques, mais il y a encore peu de réactions, elles ont plutôt tendance à faire le gros dos en attendant une hypothétique solution et en espérant ne pas faire l’objet de plaintes.

Pourquoi est-ce devenu illégal ?

La Cour de justice a constaté que les autorités américaines peuvent avoir accès, notamment pour des raisons de sécurité nationale, aux données personnelles (notamment de résidents européens) gérées par des sociétés américaines. Comme ces accès aux données ne permettent pas au citoyen européen de s’y opposer, ni d’avoir une information claire sur ces traitements, ils sont contraires au Règlement général européen pour la protection des données (RGPD). Donc, à cause de ce risque de transfert aux autorités américaines, quasi tous les transferts vers des sociétés américaines ont été déclarés illégaux et sont donc désormais interdits !

Depuis bientôt quatre mois, nous sommes donc (presque) tous dans l’illégalité, car qui d’entre nous n’utilise pas Teams, Zoom, Microsoft 365, DropBox ou tant d’autres de ces solutions américaines, et ce dans un contexte de télétravail et de vidéoconférences permanentes ? Or la décision de la Cour de justice s’impose à tous, même si les sociétés américaines tentent de nous persuader que rien n’a changé. De plus, nous avons peu d’alternatives européennes.

Les réactions des Gafam et autres

Ces sociétés sont généralement dans le déni, dans la négation des conséquences de cette décision. En effet, elles publient sur leurs sites et dans les contrats qu’elles imposent aux sociétés et organisations européennes des références à des exceptions, certes prévues par le fameux RGPD pour les transferts internationaux, mais dont la Cour de justice a clairement dit qu’elles étaient inutilisables pour les sociétés américaines du fait de l’accès potentiel du gouvernement américain aux données de citoyens européens.

Comme les sociétés européennes sont responsables des traitements de données qu’elles réalisent et des contrats qu’elles signent avec leurs sous-traitants étrangers et du choix de ceux-ci, elles se doivent d’analyser les conséquences et les risques qu’elles prennent à continuer à travailler avec des sociétés américaines. Et signer avec des sociétés américaines des contrats dont n’importe quel spécialiste pourra démontrer la non-conformité au RGPD est un risque dont elles devront assumer la responsabilité en cas de plaintes et d’amendes. Rappelons que les amendes peuvent se chiffrer en millions d’euros, ce qui est la première conséquence économique de cette décision.

Que peuvent faire les Européennes ?

Depuis quelques mois, les professionnels du secteur sont confrontés à cette question de la part de leurs clients et des entreprises et organisations européennes dont ils sont les data privacy officers. Et la réponse n’est pas simple car la décision de la CJUE est claire : on ne peut plus travailler avec les Gafam et autres Zoom, comme si rien n’avait changé. Les experts recommandent d’analyser les traitements, de rechercher des alternatives, de ne signer des contrats qu’avec des garanties de conformité, mais il n’y a pas de solution miracle !

Les conséquences économiques

Si cet arrêt de collaboration avec les Google, Facebook et autres devait se réaliser, cela signifierait l’arrêt brutal du marketing digital tel que nous le connaissons. Comment se passer de l’écosystème marketing de Google, de ses analyses, de Google my business, des campagnes et des pixels Facebook, des cookies, de Dropbox, de Google Form et de tant d’autres outils ? Suivre cette décision au pied de la lettre serait une nouvelle catastrophe économique après celle imposée par le confinement. Rappelons que, selon la Chambre de commerce américaine, le commerce des données entre l’Europe et les USA représente plus de 300 milliards de dollars. Des milliers d’entreprises en Europe et en Belgique, dont de nombreuses PME, devraient arrêter leurs activités.

Et n’oublions pas que le risque de plainte pour non-respect de cette décision est réel. Des plaintes ont déjà été déposées, et des activistes recommandent aux citoyens de poser des questions aux organisations et de porter plainte contre elles en cas d’utilisation de fournisseurs américains pour la gestion des données personnelles.

Quelles solutions ?

Certes, pour certaines applications comme la vidéoconférence, il existe des alternatives européennes. Mais il n’y a pas d’équivalent pour tous les services offerts par les groupes américains. La pire des solutions serait la politique de l’autruche. Nous devons réagir en analysant les transferts de données que nous réalisons, en analysant nos contrats avec les sous-traitants américains, en cherchant des solutions.

Les solutions finales ne pourront venir que du côté des législateurs américains et européens. Le Sénat américain a organisé sa première audition à ce sujet il y a quelques jours. Le commissaire européen en charge, Didier Reynders, a déjà entamé des négociations avec son homologue américain. Mais il n’y aura pas de solutions, s’il y en a, avant au moins plusieurs mois. Le gouvernement américain renoncera-t-il à des politiques de contrôle liées à sa sécurité ? Certains représentants des Gafam commencent à plaider pour une sorte de RGPD américain… Mais ces solutions potentielles ne seront pas pour tout de suite.

Alors, en attendant, ne vous voilez pas la face, faites appel aux professionnels du secteur, demandez l’avis de votre DPO (délégué à la protection des données) afin de préparer votre défense en cas de plainte. Ça n’arrive pas qu’aux autres . BPost et Roularta par exemple font déjà l’objet d’une plainte à ce sujet. N’attendez pas…