Le 10 juillet 2023, la Commission européenne a adopté le Data Privacy Framework. Ce texte vient fixer le cadre du transfert transatlantique des données à caractère personnel des citoyens européens.    

 

Il remplace ainsi le Privacy Shield qui a été invalidé par la Cour de justice de l’Union européenne (ci-après la « CJUE ») le 16 juillet 2020.  

 

Une décision d’adéquation 

 

Une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du Règlement général sur la protection des données (ci-après, le « RGPD »).  

Cette décision d’adéquation établit qu’un pays tiers (c’est-à-dire un pays situé en dehors de l’Union européenne (ci-après « l’UE ») ou une organisation internationale assure un niveau adéquat de protection des données à caractère personnel assurant ainsi une sécurité juridique et une uniformité de protection pour les personnes concernées.  

 

Elle permet, à ce titre, le transfert de données à caractère personnel, depuis un pays membre de l’UE vers le pays tiers ou l’organisation internationale bénéficiaire de la décision. 

A l’inverse, le transfert de données vers un pays tiers qui n’est pas déclaré adéquat par la Commission européenne n’est possible qu’à la condition de mettre en place des outils d’encadrement spécifiques tels que les clauses contractuelles type, les codes de conduite, les mécanismes de certification ou encore les arrangements administratifs.  

 

La Commission nationale de l’informatique et des libertés (ci-après, la « Cnil ») a réalisé une cartographie des pays vers lesquels il est possible, sous certaines conditions, de transférer des données à caractère personnel. Cette carte permet de visualiser les différents niveaux de protection des données des pays dans le monde.  

 

L’invalidation du Privacy Shield  

 

Le Privacy Shield faisait référence à un mécanisme d'auto-certification pour les sociétés établies aux États-Unis. En 2016, ce mécanisme avait reçu l’approbation de la Commission européenne.  

 

En effet, cette dernière considérait que les transferts de données depuis une entité européenne vers des sociétés établies aux Etats-Unis étaient conformes au RGPD lorsqu’ils s’effectuaient dans le cadre du Privacy Shield, également appelé « bouclier de protection des données EU-Etats-Unis ».  

 

Cependant, cette décision d’adéquation a été annulée par une décision de la CJUE, Schrems II, du 16 juillet 2020. Selon le juge européen, la législation en vigueur aux Etats-Unis ne permettait pas d’assurer un niveau de protection adéquat pour les personnes concernées dans UE. 

 

La signature d’un décret par le Président américain  

 

L’invalidation du Privacy Shield a amené le Président des États-Unis, Joe BIDEN, à conclure le 7 octobre 2022, un décret présidentiel, afin de mettre en œuvre un nouveau cadre pour le transfert des données personnelles de l'Union européenne vers les États-Unis. 

 

Ce décret présidentiel avait pour objectif d’instituer des mécanismes contraignants et indépendants, des garanties supplémentaires quant au traitement et à la collecte des données personnelles par les autorités de renseignement américaines, et des niveaux de recours. 

 

La validation du Data Privacy Framework introduisant de nouvelles mesures 

 

Le Data Privacy Framework est le nouveau texte qui encadre les transferts de données à caractère personnel depuis l’Europe vers les Etats-Unis.  

Il constitue le fondement de la décision d’adéquation prise par la Commission européenne le 10 juillet 2023 et succède ainsi au Privacy Shield qui a été invalidé par la Commission le 16 juillet 2020.   

 

De nouvelles mesures sont mises en place par cette décision d’adéquation, tel que le mécanisme d’auto-certification, qui invite les entreprises à s’engager à respecter les obligations relatives à la protection des données.  

 

La Cnil a affirmé qu’afin de procéder au transfert des données à caractère personnel, les organismes émetteurs devront s’assurer que l’organisme destinataire figure sur la liste du Département du commerce des Etats-Unis.  

Par conséquent, dans le cas où ces organismes ne figuraient pas sur cette liste, ces transferts nécessiteront alors des garanties appropriées, telles que des clauses contractuelles type, des clauses contractuelles spécifiques, des règles d’entreprises contraignantes, etc.  

 

Vers une troisième invalidation : Schrems III ? 

 

A peine entériné, le Data Privacy Framework interroge sur sa pérennité, étant déjà sujet à de nombreuses critiques.  

 

L’organisation None Of Your Business (NOYB), fondée par Max Schrems, souligne que« le décret 14086 déclare que la surveillance de masse prévue par la loi FISA 702 est « proportionnée » en vertu d'une « interprétation américaine » non divulguée du terme et contrairement aux deux conclusions de la CJUE ».  

 

Max Shrems s’est déjà déclaré prêt à le contester devant la CJUE. D’autres experts soulignent les faiblesses politiques et juridiques s’attendant même à ce qu’il soit « invalidé d’ici deux à cinq ans »