Pour commencer, une plus grande attention a été portée par les autorités européennes de protection des données aux solutions analytiques fournies par les Big Tech américains et utilisées par les entreprises pour envoyer les données personnelles de leurs clients à l’étranger. L'un des outils d'analyse de sites web les plus populaires au monde, Google Analytics, s’est justement vu interdire en Europe par les autorités de protection des données française, autrichienne, italienne et danoise.. Ce « retour de bâton » juridique post-Schrems II a fortement déstabilisé les entreprises qui avaient recours à ce type de solutions analytiques, nécessitant la définition d’un nouveau cadre. Le récent décret américain parviendra-t-il à répondre à ce dilemme?
Une solution loin d’être idéale
Concrètement, qu’est-ce que le décret introduit comme nouvelles mesures ? Il s’agit de garanties et d'exigences destinées à restreindre l'accès aux données des citoyens européens par les services de surveillance américains, introduisant également un système de recours pour traiter les plaintes. S’il s’agit d’une belle avancée, jusque-là inédite, allant dans le sens de la protection des données des citoyens européens, le cadre reste pour l’instant bancal.Le document a déjà été évalué par l’ONG autrichienne NOYB (None Of Your Business), responsable du démantèlement de deux précédents accords de transfert de données. Le premier écueil relevé est que, comme il ne s’agit pas d’une loi à proprement parler, ce décret est très facilement annulable par un nouveau, une faiblesse qui pourrait déplaire à la CJUE. Dans le droit américain, le quatrième amendement n’accorde le droit à la vie privée qu’aux citoyens américains, et non aux citoyens Européens qui peuvent donc facilement devenir la cible d'une surveillance.
D’autres lacunes majeures du décret ont été mises en évidence par l’autorité de protection des données de l'État allemand du Bade-Wurtemberg, notamment un manque de clarté sur la relation entre le décret et les autres réglementations américaines existantes, telles que le Cloud Act, qui reviendrait même à autoriser explicitement la surveillance de masse.
Selon le décret encore, les organisations américaines opérant dans l'UE ne seront pas liées par le RGPD, elles n'auront pas besoin d'une base juridique pour collecter les données et elles ne devront fournir qu'un mécanisme d'exclusion pour ceux qui ne veulent pas partager les leurs. Un sérieux désavantage, donc, pour les entreprises de l'UE qui doivent se conformer au RGPD.
L’incertitude actuelle impose sa marque
Face à l’interdiction des transferts de données entre l’UE et les Etats-Unis imposée par l'arrêt Schrems II, les entreprises européennes ont, pour la grande majorité, renouvelé leurs technologies et leurs méthodes pour respecter le nouveau cadre juridique. Les principaux points qui ont nécessité des ajustements concernent la limitation des transferts et l'anonymisation des données, dans la mesure où les technologies commerciales américaines pratiquent beaucoup l'identification des utilisateurs et les transferts de données. Limiter les transferts ou supprimer les informations personnelles des données répond en partie à cette problématique, mais a aussi un prix. En effet, configurer Google Analytics pour correspondre aux normes du RGPD lui fait également perdre une grande partie de ses capacités.En parallèle, il est aussi possible de mettre à jour la pile technologique avec des alternatives européennes. Le cadre de Schrems II a ouvert la voie aux logiciels commerciaux et marketing hébergés en local dans l’UE. Des solutions qui confèrent aux entreprises une indépendance complète à l'épreuve du transfert de données.
Impossible de revenir en arrière
La façon dont les entreprises et les législateurs abordent les transferts de données et la vie privée des utilisateurs a profondément changé avec Schrems II ; des changements sur lesquels le nouveau cadre ne pourra revenir entièrement, mais qui contribuera à mettre fin à plus de deux ans de turbulences.Qu’est-ce que Schrems II a fondamentalement changé ? Tout d’abord le paysage juridique, avec l’impact des lois sur le service numérique et sur le marché numérique de l'UE sur les relations entre l'Europe et les grandes entreprises technologiques américaines. Les règles de collecte et de traitement des données dans le monde numérique seront, dans un futur proche, précisées par le règlement "vie privée et communications électroniques", actuellement toujours en élaboration.
De leur côté, le marketing et la vie privée sont deux secteurs qui connaissent eux aussi de profonds changements, entretenant une forte dépendance avec les transferts et le traitement des données personnelles. Leurs deux mécanismes clés, le cadre de consentement TCF2 de l'IAB et le système d'enchères en temps réel, sont désormais la cible des autorités de protection des données et des ONG juridiques. L'issue de ces enquêtes remodèlera la manière dont le secteur fonctionne dans l'UE.
Même une fois le nouveau cadre de transfert mis en place, la majorité des entreprises choisiront de ne plus avoir recours aux solutions antérieures à Schrems II, étant donné que les technologies alternatives ont prouvé leur qualité. Il y a également eu trop de progrès sur le plan juridique mais aussi mental pour assister à un retour en arrière. Les entreprises ont fait le choix d’une approche moderne, plus respectueuse de la vie privée, pour aller toujours vers l'avant.
Par Maciej Zawadziński, CEO de Piwik PRO