Alors qu’un nouveau projet d’accord entre les États-Unis et l’Europe organisant les transferts de données était en travaux, c’est enfin officiel. Avec 24 votes, le Data Privacy Framework, successeur du célèbre Privacy Shield est validé.

Mais ce nouvel accord ne fait pas l’unanimité auprès de la doctrine. On vous en dit plus dans cet article. 

Un accord très attendu !

La validation du Privacy Shield était largement attendue. Après de nombreuses discussions, la Commission Européenne vient (enfin), ce 12 juillet, de valider ce nouvel accord, qui vient faire suite à son prédécesseur, le Privacy Shield.

Ces accords permettent d’organiser les transferts de données personnelles entre les États Unis et l’Europe. Les États Unis n’étant pas soumis à l’application du RGPD, cet accord garantit les transferts de données opérés en assurant que les États Unis offrent un niveau de protection adéquat aux données personnelles, conformément à l’article 44 du RGPD.

Le Privacy Shield garantissait ces transferts de données, qui sont très nombreux dans la pratique. En effet, l’accord représente 900 milliards de € de commerce transfrontalier par année !

Mais depuis son invalidation, les organismes européens sont obligés de recourir à d’autres mécanismes qui sont, certes prévus par le RGPD, mais largement insuffisants face aux flux de données échangées (DPA, CBR…).

💡 Cette insuffisance a déjà par ailleurs été condamnée, et fut la raison de l’une des amendes les plus lourdes jamais prononcées pour non-respect du RGPD ! En effet, en mai dernier, la société américaine Meta fut condamnée à une amende de 1,2 milliards d’€ pour ce même manquement !

Ce nouvel accord permet en théorie d’assurer à nouveaux ces transferts transatlantiques, et apporte des nouveautés par rapport à ses prédécesseurs. 

Les nouvelles garanties proposées par le DPF (Data Privacy Framework)

Le Data Privacy Framework apporte deux principales nouveautés par rapport à ses prédécesseurs. 

Proportionnalité quant à la surveillance américaine

Raison majeure des annulations des précédents accords, la nouvelle réglementation américaine introduit un principe de proportionnalité quant à la surveillance des citoyens européens par les autorités américaines. Le gouvernement américain contrôlera davantage le recours à cette surveillance « afin de garantir le respect des limitations applicables aux activités de surveillance ».

Création d’une Cour de Révision de la Protection des Données (Data Protection Review Court) 

Ce nouvel organe, dont la création relève de Joe Biden, est une avancée majeure dans ce nouvel accord.  Partiellement indépendante du pouvoir exécutif, cette cour permet aux citoyens européens d’intenter une action en cas de litige avec un organisme américain quant à l’exercice de leurs droits sur leurs données personnelles.

Un nouvel accord dont la pérennité n’est pas assurée 

Néanmoins, certains points laissent à penser que le Data Privacy Framework sera très prochainement invalidé, comme ses prédécesseurs. 

Des problématiques irrésolues

L’une des principales problématiques posées entre les différences de réglementations européenne et américaine sont les lois de surveillance américaines, qui permettent aux autorités de consulter des données d’européens en cas de risques pour la sécurité américaine. 

⚠️ Bien que ce nouvel accord introduise un principe de proportionnalité, à défaut de réelles mesures explicatives et claires et garantissant la sécurité des données des citoyens européens, cette mesure pourrait potentiellement justifier une nouvelle annulation de cet accord. 

Max Schrems, l’un des acteurs principaux des décisions Schrems I et Schrems II, ayant valu l’annulation des deux précédentes décisions d’adéquation (Safe Harbor et Privacy Shield) s’est prononcé sur ce nouvel accord : « On dit que la définition de la folie est de faire la même chose encore et encore et de s’attendre à un résultat différent. Tout comme le « Privacy Shield », le dernier accord n’est pas basé sur des changements matériels, mais sur des intérêts politiques.”

Des avancées questionnables

Si une nouvelle réglementation concernant la protection des données est désormais applicable et en vigueur aux USA, tous les organismes n’y sont pas soumis. Seuls certains organismes seront concernés par cet accord, car ce seront les seuls fournissant un niveau de protection adéquat. 

La création d’une Cour de justice spécifique soulève quelques questionnements quant à sa nature et son fonctionnement. Partiellement indépendant du pouvoir exécutif, il n’est pas possible de faire appel d’une décision rendue par cet organe, ce qui interroge légitimement son effectivité. 

Dans l’attente, que faire ?

Au regard des différentes inquiétudes partagées par la doctrine, et des plaintes déjà déposées par les associations de protection de la vie privée des citoyens européens, il serait préférable de ne pas fonder des transferts actuellement opérés ou prochainement opérés sur ce mécanisme, mais plutôt se référer aux mécanismes utilisés jusqu’ici. 

Ce contenu pourrait aussi vous intéresser : La CJUE ajoute un nouvel élément à la définition de données à caractère personnel.