Digital Nomads Beyond the Cubicle by Yutong Liu & Digit. Yutong Liu & Digit , CC BY Par Julien Falgas , Université de Lorraine et Dominique Boullier , Sciences Po La proposition de loi visant à « protéger les mineurs des risques auxquels les expose l’utilisation des réseaux sociaux » sera bientôt examinée par le Sénat. Elle élude le cœur du problème : le modèle économique fondé sur la captation de l’attention. Sans s’attaquer à cette architecture, la régulation risque de manquer sa cible. Loin de cibler les plateformes toxiques bien connues, la proposition de loi visant à « protéger les mineurs des risques auxquels les expose l’utilisation des réseaux sociaux » pourrait entraver l’émergence d’alternatives vertueuses pour nos écosystèmes d’information et de communication. Les sciences humaines et sociales ne sont pourtant pas avares de propositions systémiques plus constr...
L'autorité de protection des données personnelles irlandaise ("IDPC") a déclaré le 25 mai dernier, par la voix d'Helen Dixon, son commissaire à la protection des données, avoir des doutes sur la conformité aux réglementations européennes de l'un des mécanismes de transfert de données hors UE : les clauses contractuelles types.
L'IDPC a informé M. Schrems et Facebook de son intention de demander à la Cour de Justice Européenne (CJUE) de se prononcer sur le statut juridique des transferts de données effectués sous le régime des clauses contractuelles types.
Or, ces dernières sont devenues le principal mécanisme (hormis les BCR, utilisées au sein d'un même groupe de sociétés) utilisé pour transférer des données de l'Union Européenne vers les Etats-Unis depuis la décision Schrems d'invalidation du Safe Harbor, le 6 octobre 2015 par la CJUE. Pire, contrairement au Safe Harbor, utilisé exclusivement pour les transferts vers les Etats-Unis, les clauses contractuelles types permettent d'opérer des transferts de données hors UE quelle que soit la destination.
Si cet outil de transfert venait à être invalidé, ce sont donc l'ensemble des transferts hors UE qui devront être reconsidérés.
Il ne s'agit toutefois pas d'un développement totalement surprenant. En effet, dès le lendemain de la décision Schrems, nous, comme d'autres commentateurs, avions relevé que les critiques faites par la CJUE sur le Safe Harbor, justifiant son invalidation, étaient parfaitement applicables aux clauses contractuelles types.
Le groupe de travail G29 avait également indiqué en mars dernier que les mécanismes, autres que le Safe Harbor, utilisés par les entreprises afin de transférer des données vers les Etats-Unis pourraient être remis en cause. Néanmoins, cet examen avait été retardé par l'entrée en piste du Privacy Shield.
Mais alors, où en sommes-nous aujourd'hui ?
Il faudra de longs mois, voire même des années, avant qu'une décision de la CJUE, suite aux actions de l'IDPC, n'invalide des clauses contractuelles types.
Néanmoins, l'étau se resserre inexorablement autour des clauses contractuelles types de la Commission Européenne et probablement par contagion autour des règles contraignantes d'entreprise (autre outil de transfert de données).
Dans l'intervalle les clauses contractuelles types demeurent applicables, mais on le sait maintenant, leur mort est programmée. Cet outil juridique ne peut donc être considéré comme une solution pérenne pour organiser des transferts de données hors UE.
Pour autant, la mise en place de mécanismes alternatifs jugés satisfaisants par le G29 tarde. En particulier, le Privacy Shield a bien du mal à convaincre et est déjà menacé de recours divers et variés s'il devait être adopté définitivement.
Les acteurs de l'économie internationale sont donc plus que jamais dans l'incertitude et, au lendemain de l'adoption du nouveau règlement européen de protection des données personnelles, cela pourrait freiner la mise en place de nouvelles règles de gouvernance internes liées à la protection des données personnelles.