Les entreprises vont-elles enfin pouvoir souffler après deux ans de galère pour transférer leurs données entre l'Union européenne et les Etats-Unis ? Le président américain, Joe Biden, a signé en fin de semaine dernière un nouveau décret exécutif qui présente ce qui pourrait devenir, d'ici à la mi-2023, le nouveau cadre légal tant attendu depuis l'invalidation, en juillet 2020, du Privacy Shield. A l'époque, la Cour de justice de l'Union européenne (CJUE) avait estimé que ce cadre légal, utilisé par plus de 5.000 entreprises dont des géants comme Google ou Amazon mais aussi par des Français, ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ». Depuis, les entreprises concernées, pour lesquelles l'échange de données est vital, procédaient hors de tout cadre légal, dans l'incertitude la plus totale. Une situation intenable.

L'annonce d'un nouvel accord est-elle enfin synonyme de sortie de crise ? Pas si vite. Le problème de fond n'est pas encore tranché. Il s'agit de l'incompatibilité juridique profonde entre le RGPD européen et les pratiques de surveillance de masse du renseignement américain, y compris en Europe, au nom de leur sécurité nationale. C'est parce que le RGPD semble insoluble dans la loi américaine que l'activiste autrichien Max Schrems, de l'ONG None of Your Business, a réussi à faire invalider par deux fois le cadre légal sur le transfert des données. D'abord le Safe Harbor, en 2015. Puis

Lire la suite