EU-U.S. Data Privacy Framework. : La décision d’adéquation concernant les États-Unis a été adoptée par la Commission Européenne le 10 juillet 2023.
L’aboutissement de longues négociations
Les transferts de données personnelles vers des Etats tiers à l’Union Européenne doivent être encadrés de manière à s’assurer que les pays importateurs de données assurent un niveau de protection équivalent à l’Union Européenne aux personnes concernées.
Les transferts de données personnelles vers les États-Unis posent problème dans la mesure où la loi nationale permet un accès étendu aux services de renseignement locaux aux données détenues par les organisations américaines.
Plusieurs accords entre les États-Unis et l’Union Européenne ont vu le jour depuis le début des années 2000 afin de tenter d’apporter un cadre protecteur aux personnes dont les données sont transférées : le « Safe Harbor » de 2000 puis le « Privacy Shield » en 2016.
Ces deux textes n’ont toutefois pas résisté à une analyse poussée de la Cour de Justice de l’Union Européenne (CJUE). En effet, celle-ci a invalidé ces deux dispositifs dans des décisions C-362/14 (« Schrems I ») en 2015 et C-311/18 (« Schrems II ») en 2020.
Des échanges entre les Etats-Unis et l’Union Européenne ont eu lieu au cours de l’année 2022. Ursula von der Leyen et le président américain Joe Biden se sont entendus sur un accord de principe en mars 2022.
Un cadre simplifié pour l’exportation de données vers les Etats-Unis
Après le « safe-harbor » et le « privacy shield » la Commission Européenne a approuvé la mise en place du « Trans-Atlantic Data Privacy Framework » ou EU-U.S. DPF.
Celui-ci va permettre le transfert de données personnelles dans un cadre simplifié avec des organismes américains.
En effet, il ne sera plus nécessaire pour les exportateurs de données de mettre en place des mécanismes de sécurité additionnels lors de transferts ou de signer des clauses contractuelles types. Ces nouvelles dispositions permettront ainsi un ensemble contractuel allégé et des relations simplifiées avec les entités et partenaires situés aux États-Unis.
En pratique les organismes américains devront s’engager à respecter des obligations issues du RGPD et feront l’objet d’une auto-certification. Le Department of Commerce sera en charge de la gestion et du contrôle de la liste des sociétés américaines certifiées.
Les transferts dans le cadre du Data Privacy Framework pourront donc commencer dans les prochains mois.
La mise en place d’une autorité indépendante et l’introduction d’une exigence de proportionnalité dans la nouvelle rédaction de l’Executive Order 14086 (relatif aux activités de renseignements) ont permis à la Commission Européenne de conclure à un niveau de protection suffisant pour les personnes concernées.
L’autorité indépendante (Data Protection Review Court) sera en charge des plaintes des personnes dont les données personnelles seraient rendues accessibles aux services de renseignements américains. Pour faciliter ces plaintes les personnes concernées pourront directement s’adresser à leur autorité de protection.
Un texte fragile
L’accord trouvé entre le gouvernement américain et la Commission Européenne ne sera pas nécessairement satisfaisant aux yeux de la Cour de Justice de l’Union Européenne.
En effet, plusieurs voix se sont déjà élevées pour attirer l’attention sur les faiblesses de l’accord. Le Comité européen de la protection des données (CEPD) insistait ainsi sur la nécessité d’un contrôle effectif, en particulier des dispositions permettant un traitement en masse des données et s’inquiétait de l’absence de recours après une obtention d’une décision de la DPRC.
L’association NOYB (None of Your Business) et son président, Max Schrems ont également indiqué que, selon eux, le Data Privacy Framework ne répondait pas aux exigences du RGPD et qu’ils souhaitaient d’ores et déjà contester l’accord devant la CJUE dès la fin de l’année 2023.
Il conviendra enfin de voir si cet accord permettra à nouveau de travailler avec les éditeurs américains et leurs applications, telles que Google Analytics, dont l’usage était prohibé pour cause de transfert de données illicite.