CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N°371
Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.
Le Data Privacy Framework (DPF) a été adopté par la Commission européenne le 10 juillet 2023. Il vise à faciliter les transferts de données personnelles vers les États-Unis tout en renforçant la protection des données, en proposant de nouvelles solutions aux problèmes soulevés par la CJUE à l’encontre de ses prédécesseurs : le Safe Harbor et le Privacy Shield.
Quels sont les apports de ce nouveau cadre ?
Les principes de nécessité et de proportionnalité
Prenant en compte les points soulevés dans l’arrêt Schrems II, le DPF prévoit de nouveaux principes qui visent à encadrer l’accès aux données par les autorités américaines grâce au décret présidentiel américain n° 14086.
L’accès et la collecte des données à caractère personnel des ressortissants européens doivent en effet respecter les principes de "nécessité" et de "proportionnalité", qui doivent, en principe, s’apparenter aux principes homonymes de droit de l’Union européenne (UE).
La consécration de ces principes vise notamment à contrebalancer l’impact de la loi de surveillance américaine FISA 702 sur la protection des données issues de l’Union européenne.
Un nouveau mécanisme de recours
De plus, l’une des nouveautés du cadre de transfert de données vers les États-Unis est le mécanisme de recours à deux niveaux prévus par le texte. Cette nouvelle voie de recours a pour conséquence la création d’une autorité indépendante et contraignante : la Cour de contrôle de la protection des données.
Lire aussi : Les entreprises et administrations françaises au cœur de la Directive NIS 2
Cette cour s’occupe des plaintes déposées par les personnes physiques dont les données ont été transférées de l’Union européenne vers des entreprises américaines et qui pensent avoir été sujettes à une utilisation de leurs données personnelles par les agences de renseignement américaines.
Un mécanisme d’autocertification
En outre, le mécanisme d’autocertification en ligne du Privacy Shield a été conservé pour le DPF, avec quelques informations supplémentaires à fournir, ce qui facilite la certification pour les entreprises certifiées à l’époque avec le Privacy Shield.
Le DPF risque-t-il de connaître le même sort que ses prédécesseurs ?
De nombreux observateurs s’interrogent sur la robustesse du nouveau mécanisme et sur l’efficacité des nouvelles garanties dans leur objectif de pallier aux critiques émises par la CJUE dans les arrêts Schrems I et II.
Les points forts du nouveau cadre
Par l’intermédiaire du décret n° 14086, certaines lacunes du droit américain identifiées par la CJUE semblent être comblées. En effet, ce décret met en œuvre les nouveaux principes précités, auparavant inexistants, et un mécanisme de recours impartial, en théorie plus efficace et protecteur que le mécanisme "Ombudsperson" du Privacy Shield.
En outre, la Commission européenne s’est engagée à procéder à des examens périodiques du DPF en collaboration avec les autorités de protection des données de l’UE et les autorités américaines, afin de confirmer que le gouvernement américain respecte en pratique les engagements qu’il a pris dans le cadre du décret n° 14086.
Le premier examen aura lieu dans un délai d’un an à compter de l’entrée en vigueur de la décision d’adéquation. Il s’agira de vérifier que tous les éléments pertinents ont été pleinement mis en œuvre par le gouvernement américain et qu’ils fonctionnent dans la pratique.
Cependant, malgré les améliorations théoriques apportées par le DPF, il est indéniable que cette décision d’adéquation est susceptible de subir le même sort que ses prédécesseurs si son efficacité pratique n’est pas avérée.
Lire aussi : Transfert des données entre l'Europe et les États-Unis : une signature qui ne lève pas les doutes
Les points faibles
Le DPF faisait déjà l’objet de critiques de la part du Conseil européen de la protection des données (CEPD) avant son adoption définitive. En effet, il est estimé que les mesures adoptées dans le DPF ne répondront pas suffisamment aux préoccupations soulevées par la CJUE, et en particulier lorsqu’il est question de la problématique de la collecte massive de données par les autorités américaines.
Concernant les principes de "proportionnalité" et de "nécessité" prévus par le décret présidentiel, fondés sur le système juridique américain et non européen, il est anticipé que leur application sera très différente de celle du droit de l’UE. La protection assurée par ces derniers sera donc potentiellement insuffisante.
De plus, ces principes n’amendent pas la loi de surveillance américaine FISA 702, élément central des problématiques soulevées à l’encontre du Privacy Shield, et qui n’a pas évolué depuis.
En outre, les décisions de la nouvelle Cour de contrôle de la protection des données seront classifiées et ne seront ni publiques ni accessibles au plaignant. L’opacité de ce nouveau recours est sujette à des critiques de la part de l’avocat autrichien Max Schrems, pour qui il semble impensable que la Cour de justice accepte cela comme un "recours juridictionnel" au titre de l’article 47 de la Charte des droits fondamentaux de l’Union européenne.
Par conséquent, les apports du DPF ne garantissent pas son efficacité, et le risque que le DPF fasse également l’objet d’une invalidation ne peut pas être écarté.
Lire aussi : Durées de conservation et numérique : l’affaire de tous
Les pratiques contractuelles mises en place par les entreprises doivent-elles évoluer ?
Après l’invalidation du Privacy Shield, la CJUE a consacré de nouvelles obligations à l’encontre des responsables de traitement et des sous-traitants participant à un transfert de données vers un pays tiers. Tout d’abord, avant tout transfert de données, ces derniers doivent procéder à une évaluation des risques liés au transfert.
Les entreprises doivent aussi mettre en place des clauses contractuelles types ainsi que des mesures contractuelles, techniques et organisationnelles supplémentaires. En principe, ces mesures étaient en place en attendant l’adoption d’un nouveau cadre permettant le transfert sécurisé de données personnelles aux États-Unis, mais l’adoption du DPF n’est pas synonyme de leur obsolescence.
Se prévaloir d’une mise en conformité facilitée par le DPF…
Avec le DPF, les mesures contractuelles, techniques et organisationnelles supplémentaires mises en œuvre après l’arrêt Schrems II ne sont plus nécessaires pour les transferts de données personnelles vers les États-Unis. Il est donc possible de procéder à des transferts de données personnelles vers une entreprise américaine certifiée au DPF sans avoir besoin d’utiliser de mécanismes supplémentaires.
… Tout en conservant ses anciens réflexes
Cependant, malgré l’adoption du nouvel accord, les mécanismes tels que les clauses contractuelles types sont en effet toujours nécessaires lors de transferts vers les entreprises américaines non certifiées, ainsi que pour les transferts de données vers des pays ne faisant pas l’objet d’une décision d’adéquation.
Par ailleurs, au vu de l’incertitude quant au futur du DPF, la prudence est de mise. Ainsi, conserver les mesures déjà mises en place par les entreprises permettra d’éviter de revivre le chaos provoqué par la décision Schrems II. Afin d’assurer un encadrement de tous les scénarios possibles, les entreprises pourront même prévoir contractuellement un mécanisme de bascule vers ces mesures ou de renégociation des accords sur les transferts si le DPF était invalidé de nouveau.
Lire aussi : Top 3 des outils pour protéger ses données et celles des autres
Les entreprises ont toujours la nécessité de se reposer sur les Transfer Impact Assessment (TIA ou transferts internationaux de données) si elles ne souhaitent pas s’appuyer uniquement sur le DPF. Grâce au DPF, il leur sera d’ailleurs plus facile de justifier que le niveau de protection est adéquat au terme de l’analyse d’impact.
Eu égard à tous ces éléments, même si le DPF permet aux entreprises de faciliter la mise en conformité de leurs transferts de données personnelles vers les États-Unis, il convient de rester prudent. Le choix sécuritaire est d’anticiper contractuellement une potentielle nouvelle invalidation par la CJUE, afin de limiter ses impacts sur les entreprises qui s’appuient sur le DPF.
Xavier Pican
[Associé en IP/IT du cabinet Osborne Clarke]
Laurène Zaggia
[Counsel en IP/IT du cabinet Osborne Clarke]