Une opinion de Jacques Folon, DPO et CEO de GDPRfolde.

Vous vous souvenez peut-être de la décision de la Cour de Justice de l’Union Européenne qui a annulé il y a quelques semaines le Privacy Shield qui permettait le transfert de données personnelles d'Europe vers les USA. Cette décision a également passé en revue les alternatives possibles pour continuer ces transferts. Et la décision est très claire. Aucune autre alternative légale, que ce soient les clauses contractuelles types, ou le consentement des utilisateurs n’est acceptable selon la Cour.

En effet, la règlementation américaine permettant aux autorités d’obtenir un accès aux données des entreprises américaines dans certains circonstances, en ce compris les données des européens, plus aucun transfert de données personnelles n’est possible d’Europe vers les USA en respectant la règlementation européenne sur la protection des données personnelles (RGPD).

Peut-on espérer un nouvel accord ?

Il ne faut pas trop espérer la signature rapide d’un nouvel accord Europe USA, et ce pour deux raisons : comme l’a rappelé le commissaire européen Didier Reynders, rien ne se passera avant l’élection du Président, et de plus un nouvel accord nécessiterait un changement de législation aux USA pour limiter l’accès des autorités aux données des entreprises, ce qui est peu vraisemblable.

Cette décision a pour conséquence que les entreprises européennes ne peuvent donc plus transférer de données personnelles vers les USA et, à titre d’exemple, elles ne peuvent plus utiliser les clouds américains pour héberger leurs données, ni les Google Ads pour le publicités ciblées, ni Mail Chimp pour les campagnes d’email, etc.

Avons-nous le temps de nous retourner ?

Malheureusement non, la décision est immédiatement applicable. Max Schrems, le juriste autrichien et son ONG not of your business (NOYB), à l’origine de cette décision, ont immédiatement porté plainte contre 101 entreprises européennes qui utilisaient Google Ads ou Facebook Connect et ce dans tous les Etats Membres. Les autorités européennes de protection des données ont réagi en annonçant qu’elles établiraient une réponse coordonnée. Mais quand ?

Nous allons donc devoir vivre avec les conséquences de cette décision pendant quelque temps !

La fin des GAFA en Europe ?

Les problèmes ne s’arrêtent pas là ! Suite à la décision de la Cour de Justice, l'autorité irlandaise a ordonné à Facebook d'arrêter immédiatement d'envoyer des données de résidents européens vers les USA. En effet, comme je le signalais précédemment, les autorités avaient signalé qu'il n'y aurait pas de période de grâce.

Facebook a réagi en deux temps. D’abord Facebook a décidé d’aller en appel contre la décision de l’autorité irlandaise et puis tout récemment Facebook a signalé que, comme il leur était impossible de cesser ce transfert de données d’Europe vers les USA, ils ont menacé de purement et simplement boycotter l’Europe, ce qui signifierait la fin de Facebook en Europe, mais aussi d’Instagram. En effet, dans une déclaration récente, Yvonne Cunnane, responsable de la protection des données personnelles chez Facebook Irlande, précise: “il n'est pas clair pour Facebook comment, dans de telles circonstances, il serait possible de continuer à fournir les services Facebook et Instagram en Union Européenne“.

Et pourquoi l’autorité de protection des données s’arrêterait-elle en chemin ? Pourquoi ne prendrait-elle pas une décision similaire vis-à-vis d’autre membres des GAFA qui ont-elles-aussi, établi leur siège en Irlande ? La décision de la Cour de Justice s’applique à tous.

Quelle suite attendre ?

Il serait impensable juridiquement que la Haute Cour irlandaise, en charge de l’appel de Facebook, ne suive pas l’arrêt de la Cour de Justice même si Facebook demande de geler (sur quelle base ?) la décision de la Cour de Justice. Décision attendue en novembre.

Nous sommes donc confrontés à deux problèmes importants :

  • Les entreprises européennes ne peuvent plus transférer des données personnelles vers des sociétés américaines (Microsoft, Amazon,…)

  • Les GAFA se voient interdire de transférer des données personnelles d’Europe vers les Etats-Unis et donc ces sociétés et leurs services ne peuvent plus être utilisées par les entreprises européennes (Google Ads, Facebook connect, etc.)

Alors, disparition des GAFA et du marketing digital tel que nous le connaissons ? Mais peut-être une chance pour des entreprises européennes ?

L’avenir (proche) nous le dira.