Le 16 juillet dernier, la CJUE invalidait le mécanisme de transferts de données personnelles, plus connu sous le nom de « Privacy Shield », entre les entreprises commerciales européennes et les opérateurs américains. Cette décision est venue dénoncer la non-réciprocité entre les législations en vigueur aux États-Unis et en Europe en matière de protection des données personnelles. Ainsi, la cour de justice a jugé que les outils de surveillance déployés au pays de l'Oncle Sam (Patriot Act, Cloud Act...) n'étaient pas compatibles avec les garanties offertes aux citoyens européens par le RGPD.

En dénonçant le « Privacy Shield », l'Europe continue de se doter des moyens législatifs et administratifs pour protéger les données de ses citoyens.

Des entreprises européennes face à leurs responsabilités

Mais alors, que faire lorsque l'on est une entreprise européenne ayant déjà contractualisé avec un prestataire américain ? Faut-il dénoncer son contrat sans attendre ? Bien évidemment, la réponse est « non ». Il ne s'agit pas d'interdire à quiconque de travailler avec un prestataire américain, mais d'inviter les entreprises européennes à considérer sans naïveté l'ensemble des possibles conflits qui pourraient découler de ces accords.

Pour s'en prémunir au mieux, la première action à mener est d'établir une cartographie de ses transferts de données et de ses contrats. Ensuite, l'entreprise devra identifier parmi ses prestataires, ceux qui sont soumis au Cloud Act et au Patriot Act. Enfin,