La saga sur les transferts de données entre l’Union européenne et les États-Unis connaît un nouvel épisode, après qu’une autorité autrichienne a récemment mis à l’index le géant du web Google, accusé de violer les règles sur la vie privée. L’ONG autrichienne NOYB (pour «None of your business»: «ce ne sont pas vos affaires») est une nouvelle fois à la manoeuvre. C’est elle qui avait arraché en 2020 l’invalidation du mécanisme juridique permettant le transfert des données personnelles de l’UE vers les États-Unis (nommé Privacy Shield) par la Cour de justice de l’UE (CJUE). Elle avait par la suite déposé de nombreuses plaintes en Europe pour dénoncer les stratégies de contournement mises en place par les grandes entreprises du web. La semaine dernière, l’organisation a remporté sa 1ère victoire lorsque l’autorité autrichienne de protection des données a acté que l’outil de mesure d’audience Google Analytics, leader dans son domaine et omniprésent sur le net, transférait bien les données des utilisateurs européens aux États-Unis, les exposant de fait aux programmes de surveillance mis en place par le renseignement américain. Dans un article de blog publié mercredi, le groupe américain s’est efforcé de minimiser la décision et d’appeler l’UE et les États-Unis à négocier au plus vite un nouveau cadre juridique de transfert des données. «Conneries d’éléments de langage» («Bullshit PR»), a tempêté jeudi dernier sur Twitter Max Schrems, l’activiste à la tête de NOYB, qui accuse Google de faire dévier le sujet de la réforme américaine du renseignement. Selon lui, ce n’est pas à la justice européenne de s’adapter, mais aux législateurs américains de mieux protéger les consommateurs de Google, Microsoft, Amazon, Apple et Meta (maison mère de Facebook), dès lors que leurs données sont traitées aux États-Unis. La bataille sur la protection de la vie privée est l’une des nombreuses prises de bec entre les géants américains du numérique et les autorités européennes, qui leur reprochent aussi d’échapper à l’impôt, de perpétuer des pratiques anticoncurrentielles, ou de ne pas lutter assez efficacement contre les discours de haine. Les 101 affaires lancées par NOYB dans différents pays concernent soit Google Analytics, soit son homologue Facebook Connect. Depuis l’invalidation du Privacy Shield en juillet 2020, qui était déjà le 2ème accord sur le sujet, l’UE et les États-Unis n’ont tenu que des réunions sporadiques sans parvenir à trouver un accord pour définir un nouveau cadre permettant d’allier le Règlement européen sur les données personnelles (RGPD) et la règlementation américaine. Les entreprises américaines qui utilisaient le Privacy Shield, comme Facebook, se sont rabattues sur un autre mécanisme de transfert de données européennes, les «clauses contractuelles type» (SCC), qui offre moins de garanties juridiques. «Au lieu d’adapter réellement leurs services pour qu’ils soient conformes au RGPD, les entreprises américaines ont simplement essayé d’ajouter un texte à leur politique de confidentialité et d’ignorer la décision de la Cour de justice», a commenté M. Shrems après la décision autrichienne. Selon l’avocat en chef de Google, Kent Walker, auteur de l’article de blog, des demandes des agences de sécurité américaines concernant les outils de statistiques sont très improbables et, par ailleurs, la décision de la CJUE ne doit pas imposer une «norme inflexible» qui bloquerait la circulation mondiale des données. Toutefois, «il est temps de trouver un nouveau cadre» pour ces échanges, attendu par les entreprises des deux côtés de l’Atlantique, a-t-il plaidé. Le porte-parole de la Commission européenne Christian Wigand a déclaré que les discussions en ce sens s’étaient intensifiées ces derniers mois, mais que les questions étaient «complexes» et que les négociations «prendraient du temps».
