Data Privacy Framework : quelles conséquences ?
Le filtre de… Pierre-Eric Bénéteau, partner Analytics et Digital Products
Avec plus de quinze ans d’expérience à la croisée du marketing et de la data, Pierre-Eric a rejoint Converteo peu après sa création. Aujourd’hui, en tant que Partner de la practice Analytics & Digital Products et référent de l’offre Privacy du cabinet, Pierre-Eric accompagne les grandes entreprises dans la mise en conformité de leur socle de collecte de données
Après 3 ans d’incertitude, la Commission européenne a adopté le 10 juillet 2023 une décision d’adéquation pour le cadre de protection des données EU-Etats-Unis. A l’instar du Privacy Shield invalidé par la Cour de justice de l’Union européenne (CJUE) en 2020, ce cadre a pour objectif de permettre à toute entité européenne de transférer des données à caractère personnel depuis l’UE vers certains organismes américains sans encadrement spécifique.
A retenir:
- Le 10 juillet 2023, la Commission européenne a adopté une décision constatant que les Etats-Unis offrent un niveau de protection des données à caractère personnel équivalent à celui de l’Union européenne. Cette décision est entrée en vigueur dès son adoption.
- Ce nouveau cadre va à nouveau permettre aux entreprises européennes d’utiliser des solutions éditées par des entreprises de droit américain certifiées. D’éventuels recours de la décision auprès de la Cour de justice de l’UE sont néanmoins à prévoir, et la position des “CNIL européennes” concernant l’usage de solutions et de services spécifiques reste incertaine.
- Cette décision est adoptée après une analyse approfondie des lois en matière d’accès aux données par les autorités américaines et des nouvelles voies de recours dont disposent les personnes européennes concernées.
- La décision est d’ores et déjà critiquée notamment par l’organisation Noyb (https://noyb.eu/fr/european-commission-gives-eu-us-data-transfers-third-round-cjeu) qui lui reproche sa similarité avec le Privacy Shield et le maintien de la réglementation FISA 702 jugée non proportionnelle par la CJUE dans l’arrêt Schrems II.
Quelles conséquences pour les entreprises européennes ?
Une décision d’adéquation est une décision adoptée par la Commission européenne en vertu de l’article 45 du RGPD qui atteste qu’un pays situé en dehors de l’Union européenne assure un niveau de protection adéquat des données à caractère personnel. Une telle décision tient compte de la législation interne du pays, de ses autorités de contrôle et de ses engagements internationaux.
Concernant les Etats-Unis, la décision d’adéquation a impliqué une analyse approfondie du Data Privacy Framework (“DPF”) UE-États-Unis par la Commission européenne. Ce DPF repose, à l’instar du Privacy Shield, sur un système de certification par lequel les organismes américains s’engagent à respecter un ensemble de principes relatifs à la protection de la vie privée.
Une telle décision permet aux entreprises européennes de transférer des données personnelles à des entreprises situées aux Etats-Unis sans nécessiter la mise en place de garanties supplémentaires.
Ce nouveau cadre va notamment permettre aux entreprises européennes d’utiliser des solutions éditées par des entreprises de droit américain certifiées (comme Google Analytics dont l’utilisation a été mise en cause par la CNIL en février 2022 du fait de la soumission de Google aux lois américaines sur le renseignement et de transferts vers les États-Unis insuffisamment encadrés).
Quelles conséquences pour les entreprises américaines ?
Les entreprises établies aux Etats-Unis pourront ainsi recevoir et traiter des données à caractère personnel d’européens à condition d’être certifiées. Pour obtenir la certification, elles devront fournir certaines informations au Département du commerce américain (“DoC”), telles que la description de leurs finalités de traitement et des données traitées ainsi que le mécanisme de recours indépendant.
Les organismes américains certifiés sous le Privacy Shield doivent mettre à jour leurs politiques de protection de la vie privée d’ici le 10 octobre 2023, mais n’ont pas besoin d’une nouvelle auto-certification pour participer au DPF et peuvent recevoir immédiatement des données à caractère personnel en provenance de l’UE.
Par ailleurs, les organisations certifiées doivent être soumises aux pouvoirs d’enquête et d’exécution de la Federal Trade Commission (“FTC”) ou du ministère américain des transports (“DoT”) et devront renouveler leur certification chaque année pour maintenir leur adhésion aux principes établis.
Qu’attendre dans les prochaines semaines ?
La décision d’adéquation, adoptée malgré la réticence du CEPD et du Parlement européen, fait toutefois débat et risque d’être renvoyée vers la CJUE dans les prochains mois. En effet, plusieurs spécialistes de la protection des données dont Max Schrems ont souligné le maintien de la réglementation FISA 702 que la CJUE avait jugée non proportionnée au sens de la Charte des droits fondamentaux de l’Union européenne et que les Etats-Unis ont refusé de réformer. L’association Noyb a déjà prévu d’introduire un recours auprès de la CJUE.
Ce que contient la décision d’adéquation
Dans sa décision d’adéquation du 10 juillet 2023, la Commission s’est assurée en premier lieu que chaque principe de protection des données personnelles prévu par le RGPD se retrouve dans le DPF. Ainsi on retrouve les principes de limitation des finalités, minimisation, sécurité et exactitude à travers le « Data integrity and purpose limitation principle» et le « Security principle » qui prévoient des dispositions similaires au RGPD.
En plus des informations exigées par le RGPD conformément au principe de transparence, le « Notice Principle » impose aux organismes certifiés de fournir certaines informations relatives au DPF telles que les mécanismes de recours disponibles et la liste des organisations certifiées.
Les droits des personnes concernées tels que le droit d’accès, d’information, de modification ou d’effacement se retrouvent dans l’« Access Principle ».
Les transferts ultérieurs de données sont encadrés par le principe « Accountability for Onward Transfer » qui exige que les transferts ultérieurs n’aient lieu que: (i) dans un but limité et spécifique, (ii) sur la base d’un contrat entre l’organisme certifié et le tiers destinataire et (iii) seulement si ce contrat exige que le tiers fournisse le même niveau de protection que celui garanti par les principes du DPF.
La Commission européenne a ensuite examiné les différentes voies de recours dont disposent les personnes concernées par les traitements de données personnelles. Ainsi, ces dernières peuvent, à leur choix, déposer plainte directement auprès de l’organisme certifié concerné, d’un organisme indépendant de règlement des litiges désigné par l’organisme certifié, des autorités nationales européennes de protection des données, du DoC ou de la FTC. Dans le cas où aucune des autres voies de recours disponibles n’a résolu de manière satisfaisante la plainte, la personne concernée peut invoquer le droit de recourir à un arbitrage contraignant.
La Commission a enfin évalué les limitations et les nouvelles garanties de la loi concernant l’accès aux données par les autorités publiques américaines. En effet, pour pallier les problématiques soulevées par la CJUE dans son arrêt Schrems II, les Etats-Unis ont adopté le 7 octobre 2022 le décret 14086 intitulé « Enhancing Safeguards for US Signals Intelligence Activities », complété par le règlement relatif à la Data Protection Review Court (DPRC). Ces textes prévoient ainsi selon la Commission:
- des garanties contraignantes qui limitent l’accès aux données par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale,
- un contrôle renforcé des activités des services de renseignement américains afin de garantir le respect des limites imposées aux activités de surveillance,
- et la mise en place d’un mécanisme de recours indépendant et impartial avec l’établissement de la DPRC chargée d’examiner et de résoudre les plaintes concernant l’accès aux données par les autorités américaines chargées de la sécurité nationale.
avec la participation de : Agathe Albenque, Véronique Chupin, Julien Ribourt