Jamais VivaTech n’avait autant misé sur l’intelligence artificielle : plus de 40 % des exposants présentaient cette année des solutions fondées sur des technologies d’IA, qu’elles soient génératives, prédictives, embarquées ou souveraines. L’AI Avenue, animée notamment par Salesforce, a vu défiler une foule dense autour des démonstrations de startups comme Buddyo, Vrai AI ou Next. Plusieurs annonces ont également rythmé ces quatre jours, à commencer par la création de “Mistral Compute” – une nouvelle infrastructure européenne de calcul IA lancée en partenariat entre NVIDIA et Mistral AI. Pour la première fois, le GTC Paris – grand-messe technologique de NVIDIA – s’est tenu dans le cadre de VivaTech, symbolisant la convergence des écosystèmes. Un carrefour mondial d’entrepreneuriat Avec plus de 14 000 jeunes pousses venues de 120 pays et 50 pavillons nationaux, VivaTech s’est imposé comme le cœur battant du capital-risque européen. Les investisseurs les plus influents (Accel, Sequo...
L'autorité de protection des données personnelles irlandaise ("IDPC") a déclaré le 25 mai dernier, par la voix d'Helen Dixon, son commissaire à la protection des données, avoir des doutes sur la conformité aux réglementations européennes de l'un des mécanismes de transfert de données hors UE : les clauses contractuelles types.
L'IDPC a informé M. Schrems et Facebook de son intention de demander à la Cour de Justice Européenne (CJUE) de se prononcer sur le statut juridique des transferts de données effectués sous le régime des clauses contractuelles types.
Or, ces dernières sont devenues le principal mécanisme (hormis les BCR, utilisées au sein d'un même groupe de sociétés) utilisé pour transférer des données de l'Union Européenne vers les Etats-Unis depuis la décision Schrems d'invalidation du Safe Harbor, le 6 octobre 2015 par la CJUE. Pire, contrairement au Safe Harbor, utilisé exclusivement pour les transferts vers les Etats-Unis, les clauses contractuelles types permettent d'opérer des transferts de données hors UE quelle que soit la destination.
Si cet outil de transfert venait à être invalidé, ce sont donc l'ensemble des transferts hors UE qui devront être reconsidérés.
Il ne s'agit toutefois pas d'un développement totalement surprenant. En effet, dès le lendemain de la décision Schrems, nous, comme d'autres commentateurs, avions relevé que les critiques faites par la CJUE sur le Safe Harbor, justifiant son invalidation, étaient parfaitement applicables aux clauses contractuelles types.
Le groupe de travail G29 avait également indiqué en mars dernier que les mécanismes, autres que le Safe Harbor, utilisés par les entreprises afin de transférer des données vers les Etats-Unis pourraient être remis en cause. Néanmoins, cet examen avait été retardé par l'entrée en piste du Privacy Shield.
Mais alors, où en sommes-nous aujourd'hui ?
Il faudra de longs mois, voire même des années, avant qu'une décision de la CJUE, suite aux actions de l'IDPC, n'invalide des clauses contractuelles types.
Néanmoins, l'étau se resserre inexorablement autour des clauses contractuelles types de la Commission Européenne et probablement par contagion autour des règles contraignantes d'entreprise (autre outil de transfert de données).
Dans l'intervalle les clauses contractuelles types demeurent applicables, mais on le sait maintenant, leur mort est programmée. Cet outil juridique ne peut donc être considéré comme une solution pérenne pour organiser des transferts de données hors UE.
Pour autant, la mise en place de mécanismes alternatifs jugés satisfaisants par le G29 tarde. En particulier, le Privacy Shield a bien du mal à convaincre et est déjà menacé de recours divers et variés s'il devait être adopté définitivement.
Les acteurs de l'économie internationale sont donc plus que jamais dans l'incertitude et, au lendemain de l'adoption du nouveau règlement européen de protection des données personnelles, cela pourrait freiner la mise en place de nouvelles règles de gouvernance internes liées à la protection des données personnelles.