Data Privacy Framework (DPF) : ce qui change dans l’utilisation des solutions américaines
Après nous avoir exposé les conséquences de l’adoption du Data Privacy Framework par la commission du 10 juillet 2023, Pierre Eric bénéteau partner de la practice Analytics et Conversion revient sur les changements concrets dans l’utilisation des solutions américaines telles que Google Analytics, Adobe Analytics ou encore Facebook ads.
L’invalidation du Privacy Shield en 2020 a complexifié l’usage de solutions éditées par des entreprises de droit américain par les entreprises européennes. En effet, ces dernières ont dû encadrer les transferts de données par de nouvelles garanties et ont dû se conformer aux décisions des autorités de contrôle qui en ont découlé telles que les décisions concernant Google Analytics émises par la CNIL en 2022.
Le Data Privacy Framework, entré en vigueur en juillet 2023, simplifie les transferts de données personnelles de l’Union européenne vers les Etats-Unis, avec des conséquences concrètes dans l’utilisation future des solutions américaines.
Tout d’abord, les transferts de données vers des organisations américaines certifiées peuvent désormais être effectués sans encadrement spécifique. En revanche, ces transferts vers des organisations non certifiées doivent toujours faire l’objet de garanties appropriées conformément à l’article 46 du RGPD.
Même si le DPF facilite les transferts, l’incertitude persiste quant à sa durabilité et aux entreprises certifiées. Il est donc important de rester vigilant et de conserver les mesures additionnelles mises en place le cas échéant.
Les implications légales du data privacy framework
Le DPF ou Data Privacy Framework est un mécanisme qui facilite le transfert de données personnelles de l’Union européenne vers des organisations basées aux États-Unis présentes sur une liste officielle (présentation de ce nouveau cadre ici: Data Privacy Framework : quelles conséquences ? – Converteo).
Avec ce nouveau cadre, les transferts ne nécessitent plus la mise en place de Clauses Contractuelles Types ou d’autres garanties de transfert tels que des BCR ou Code de conduite, comme cela était requis à la suite de l’invalidation du Privacy Shield.
Les entreprises américaines (i.e. Google, Adobe, Meta, Microsoft etc…) souhaitant bénéficier du DPF doivent démontrer leur conformité avec les principes de protection de la vie privée énoncés dans ce cadre. Pour ce faire, elles doivent soumettre un dossier au Département du Commerce (« DoC ») qui analyse leur conformité.
Ces entreprises ne sont autorisées à recevoir et traiter des données personnelles d’européens si et seulement si elles sont répertoriées dans la liste des entités certifiées du Data Privacy Framework. La liste à jour des entreprises est disponible ici : https://www.dataprivacyframework.gov/s/participant-search.
Les entreprises précédemment certifiées sous le Privacy Shield souhaitant obtenir la certification DPF doivent se conformer aux exigences de ce dernier d’ici le 10 octobre 2023.
A noter que les organisations devront renouveler leur certification annuellement.
En cas de non-conformité, le DoC a le pouvoir de retirer certaines entreprises de la liste. Les entreprises européennes pourront toujours recourir aux services d’une entreprise retirée de la liste, mais elles ne pourront plus utiliser le DPF pour encadrer le transfert de données. Elles devront alors mettre en place d’autres garanties telles que les Clauses Contractuelles Types ou des mécanismes d’anonymisation tels que la proxification pour offrir le même degré de protection des données des ressortissants de l’Union Européenne..
Editeur certifié ou non, les plans d’actions pour chaque cas de figure
Si l’éditeur de votre solution figure sur la liste du DPF, il peut recevoir et traiter des données personnelles d’européens. L’utilisation de cet outil n’exige plus la mise en place d’autres garanties de transfert appropriées.
A titre d’exemple, Google, originairement certifié sous le Privacy Shield le 22 septembre 2016, annonce une date de nouvelle certification au 14 septembre 2023.
Les entreprises certifiées doivent préciser la portée de la certification. Par exemple, Google mentionne que sa certification couvre l’activité de Google LLC et de toutes ses filiales américaines détenues à 100 %. Cette certification couvre l’ensemble des outils Google : Google analytics, Google Workplace…
Adobe, originellement certifié le 6 juin 2017 annonce une certification le 10 novembre 2023 applicable à tous les traitements de données notamment effectués afin de fournir les produits et services en ligne et réaliser des activités de support client.
A l’inverse, si l’entreprise qui édite la solution n’est pas sur la liste du DPF, il est nécessaire d’encadrer le transfert de données par exemple en signant des Clauses Contractuelles Types.
Outre la mise en place d’une garantie appropriée, la décision d’invalidation du Privacy Shield impose aux entreprises européennes d’analyser la législation du pays destinataire des données pour garantir un niveau de protection adéquat à celles-ci.
Avec le DPF, les transferts de données effectués dans le cadre du DPF ne nécessitent plus cette analyse préalable. Les entreprises utilisant les autres garanties de transfert peuvent simplifier leur analyse en utilisant les conclusions de la Commission européenne. En effet, les garanties mises en place par le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s’appliquent à toutes les données transférées vers les États-Unis, quel que soit l’outil de transfert utilisé.
Face aux incertitudes, une seule attitude : rester en veille
Bien que le nouveau cadre de protection des données UE-Etats-Unis soit entré en vigueur en juillet 2023, des incertitudes subsistent.
Le DPF sera réévalué un an après son entrée en vigueur par les organes européens pour s’assurer de sa pleine mise en œuvre et de son efficacité en pratique. La décision sera ensuite examinée à intervalle régulier, au moins tous les quatre ans. La décision est par ailleurs déjà critiquée notamment pour sa ressemblance avec le Privacy Shield et le maintien de la réglementation à risque FISA 702. Enfin, toute entreprise américaine peut être retirée de la liste à tout moment en cas de non-conformité, rendant les transferts vers celle-ci illégaux en l’absence de garantie supplémentaire.
Du fait de ces incertitudes, il est conseillé aux entreprises de demeurer en veille active sur les conditions de transfert et de traitement de données de ressortissants de l’Union Européenne, de maintenir une gouvernance robuste autour des données personnelles et de déployer des architectures de collecte et de traitement souples (comme la proxification) qui permettront plus facilement de s’adapter à un nouveau contexte éventuel.