Le 10 juillet 2023, la Commission européenne a validé, par une décision d'adéquation, le Data Privacy Framework1. Désormais, les organisations européennes peuvent transférer librement des données personnelles vers les Etats-Unis2.
Cette décision, très attendue par les acteurs économiques, fait cependant l’objet de critiques et pourrait être prochainement remise en cause par la Cour de justice de l'Union européenne (CJUE).
Un contexte marqué par des tensions
Deux fois déjà, la Commission européenne a ouvert la voie vers une possibilité de transférer librement des données personnelles vers les Etats-Unis. Ces initiatives ont été sévèrement retoquées par la CJUE, qui a invalidé consécutivement le Safe Harbor puis le Privacy Shield3.
Ainsi, avant la décision du 10 juillet 2023, tout transfert de données vers les USA était conditionné à l’utilisation de garanties telles que des clauses contractuelles types4.
L’autorisation de transférer librement des données personnelles vers les Etats-Unis
La Commission reconnaît désormais que les Etats-Unis offrent un niveau de protection équivalent à celui de l’Union européenne. Cette conclusion s’appuie notamment sur le décret présidentiel américain n°14086 du 7 octobre 2022 venant renforcer les garanties encadrant l’utilisation des données personnelles par les services de renseignement américains, mais aussi sur la création d’une cour spéciale et d’un mécanisme d’auto-certification.
La création de la Data Protection Review Court - Le décret n°14086 crée un mécanisme de recours indépendant auprès d’une nouvelle Cour, la Data Protection Review Court (DPRC). Tout Européen estimant que ses données ont été traitées de manière illégale pourra saisir cette Cour. Si celle-ci reconnaît des violations, elle pourra notamment exiger la suppression des données collectées de manière irrégulière.
Le mécanisme d’auto-certification -Toute entité américaine acceptant d’adhérer aux principes du RGPD peut s’inscrire sur une liste appelée EU-US Data Transfer List5, administrée par le ministère américain du commerce.
Les organisations européennes souhaitant transférer des données personnelles vers les Etats-Unis doivent donc désormais vérifier si le destinataire américain envisagé figure sur cette liste. En cas de réponse positive, nul besoin de recourir à d’autres outils : le transfert est libre et préapprouvé. Dans le cas contraire, des garanties appropriées doivent être fournies6.
Une décision critiquée
Il est probable que la CJUE soit prochainement saisie du Data Privacy Framework. L’activiste Max Schrems7 considère notamment que ce nouvel accord est une réplique du Privacy Shield n’apportant aucune nouvelle garantie permettant de mieux sécuriser les données personnelles des Européens.
En outre, les critiques soulignent que le mécanisme d’auto-certification et les contrôles effectués par le ministère de l’économie américain ne sont pas encore pleinement opérationnels et que leur efficacité future reste à démontrer. Le fonctionnement de la DPRC est également pointé du doigt en raison de l’absence d’interaction directe avec les personnes concernées, ce qui est susceptible d’entraver l’exercice de leurs droits.
Restera à la CJUE à trancher cette question, si elle est effectivement soumise à son examen.
Article paru dans Option Finance le 08/09/2023
1) Décision prise sur le fondement de l’article 45 du règlement général sur la protection des données (RGPD).
2) Par « libre transfert », on entend un transfert réalisé sur le fondement de l’article 45 du RGPD, ne nécessitant pas la mise en place de garanties additionnelles visées à l’article 46 du RGPD (clauses contractuelles types ou règles d’entreprise contraignantes).
3) Le premier accord dit de Safe Harbor a été invalidé par la CJUE le 6 octobre 2015 au motif que les Etats-Unis ne garantissaient pas un niveau de protection adéquat, notamment en raison de l'ingérence des services de renseignement américains. Le second accord dit Privacy Shield a été invalidé le 16 juillet 2020 pour des raisons similaires.
4) Garanties visées à l’article 46 du RGPD, ou mécanisme dérogatoire visé à l’article 49 du RGPD.
5) La EU-US Data Transfer List est mise à jour régulièrement et consultable en ligne à l'adresse : https://www.dataprivacyframework.gov/s/participant-search
6) Voir note 4.
7) Voir le communiqué de NOYB, association présidée par Max Schrems, à ce sujet : https://noyb.eu/fr/european-commission-gives-eu-us-data-transfers-third-round-cjeu
En savoir plus sur notre cabinet d'avocats
CMS Francis Lefebvre est le premier cabinet d’avocats d’affaires français pluridisciplinaire et international.
Véritable institution du monde du droit et des affaires, nous disposons d’une force de frappe internationale de premier plan avec en France 450 avocats dont 110 associés, et dans le monde plus de 5 000 avocats répartis dans plus de 40 pays et de 70 villes.
Partenaire de confiance de nos clients, nous les aidons à relever leurs défis en intervenant à leur côté en conseil, en transactionnel et en contentieux.
Ainsi, nous accompagnons leurs projets, sécurisons leurs transactions et assurons leur défense.
%20(2).jpg?v=2)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.