by 
La Commission européenne a adopté une décision d’adéquation pour le cadre de protection des données de l’Union européenne et des États-Unis (EU-US Data Privacy Framework – DPF). Dans le cadre de cette décision d’adéquation, les données à caractère personnel seront transférées librement à partir du 10 juillet 2023 et ce, en toute sécurité entre l’Union européenne et les entreprises américaines participantes
Contexte de la décision
Depuis 2021, les transferts de données entre l’UE et les États-Unis étaient dépourvus de fondement juridique. Bien que la Commission ait précédemment facilité le transfert de données à caractère personnel de l’Espace économique européen vers les États-Unis par des décisions d’adéquation connues sous le nom de Safe Harbor et Privacy Shield rendues dans le cadre de l’article 45 du RGPD (Règlement Général sur la Protection des Données), ces décisions étaient devenues caduques en raison des arrêts Schrems I et Schrems II de la Cour de justice de l’Union européenne.
L’arrêt Schrems II
L’arrêt Schrems II a conduit la Cour de justice de l’Union européenne (CJUE) à invalider le cadre du « bouclier de protection de la vie privée”, un mécanisme de transfert de données à caractère personnel depuis l’UE vers les États-Unis. Cet arrêt a mis en évidence les problèmes liés au droit américain qui empêchaient les « destinataires américains des données » de donner un niveau de protection des données équivalente à celle offerte dans l’UE. Il s’agit notamment du pouvoir étendu des agences de renseignement américaines d’accéder à des données à caractère personnel en vertu de la Section 702 de la Loi sur la Surveillance du renseignement étranger (FISA 702) et du Décret 12333, qui ne prévoit aucun mécanisme approprié de contrôle ou de recours juridique pour les « personnes concernées de l’UE ». La FISA 702 autorisait, en effet, les agences de renseignement américaines à recueillir des données sur des personnes non américaines à l’étranger, en particulier pour des raisons de renseignements étrangers et de sécurité nationale, y compris par l’interception de communications, le tout dans le cadre d’un recours juridique potentiel.
Décret 14086
En octobre 2022, le Président américain Joe Biden avait signé un Décret 14086 intitulé « Enhancing Safeguards for US Signals Intelligence Activities », qui établissait un ensemble de règles et de garanties visant à limiter de manière appropriée et proportionnée l’accès des agences de renseignement américaines aux données. Cette mesure avait conduit les agences de renseignement américaines à adopter des procédures visant à protéger la sécurité nationale tout en assurant un contrôle efficace des nouvelles normes de protection de la vie privée et des libertés civiques. En outre, un nouveau système de recours à deux niveaux avait été mis en place pour examiner et traiter les plaintes déposées par les citoyens de l’UE concernant l’accès aux données par les agences de renseignement américaines, y compris la création d’un tribunal indépendant de contrôle de la protection des données.
Basé sur le Décret 14086, le cadre de protection des données UE-USA (DPF) a été élaboré en collaboration entre le ministère américain du commerce et la Commission européenne. Son objectif est de fournir aux organisations américaines des mécanismes fiables pour transférer des données personnelles depuis l’UE vers les États-Unis tout en garantissant un niveau de protection adéquate des données.
Obligations et nouveaux mécanismes pour la sécurité des données
Protection adéquate et garanties contraignantes
Le DPF vise à introduire de nouvelles garanties qui répondent aux préoccupations soulevées par la Cour de justice des Communautés européennes dans son arrêt Schrems II. Il précise que les limitations à la protection des données à caractère personnel ne peuvent être établies que par des réglementations prises en application de cette loi, et que ces lois doivent être conformes aux réglementations de l’UE en matière de protection des données. La décision en déduit que ce cadre garantit un niveau de protection adéquat pour les données à caractère personnel transférées de l’UE vers des entreprises américaines par le biais du DPF et de la législation nationale américaine intégrant le décret 14086.
Par rapport à l’accord sur le bouclier de protection de la vie privée, le DPF n’autorise les services de renseignement américains à accéder aux données des résidents de l’UE que lorsque cela est nécessaire et proportionné à la protection de la sécurité nationale. En revanche, le DPF établit une Cour de contrôle de la protection des données chargée d’examiner les plaintes déposées par les résidents de l’UE. Le tribunal peut décider de supprimer ces données si elles ne respectent pas les nouvelles mesures de sauvegarde introduites par le DPF.
Exigence de certification
Pour bénéficier des avantages du DPF, les entreprises basées aux États-Unis doivent certifier leur engagement à respecter un ensemble de principes relatifs à la protection de la vie privée publiés par le Ministère américain du commerce. Pour être éligible à la certification, une organisation doit être soumise aux pouvoirs d’enquête et d’exécution de la Federal Trade Commission (FTC) ou du Ministère américain des transports.
Pour obtenir la certification au titre du DPF, les organisations sont tenues de déclarer publiquement qu’elles s’engagent à respecter les principes, à mettre leur politique de protection de la vie privée à disposition et à la mettre pleinement en œuvre.
En conséqeunce, les organisations qui n’ont pas obtenu la certification dans ce contexte ne seront pas autorisées à transférer des données depuis l’UE.
Mécanismes de recours et de résolution des litiges et instances d’arbitrage
Les citoyens de l’UE disposent de plusieurs voies de recours si leurs données sont mal traitées par des entreprises américaines. Ces voies comprennent des mécanismes indépendants de résolution des litiges et un groupe d’arbitrage, qui assurent la responsabilité et la protection des personnes.
Examens périodiques
Le fonctionnement du DPF fera l’objet d’examens périodiques afin d’en garantir l’efficacité et la pleine mise en œuvre, et de s’assurer qu’il reste conforme aux normes de protection des données et aux exigences légales.
Ces examens seront menés par la Commission européenne en collaboration avec des représentants des autorités européennes de protection des données et des autorités américaines compétentes. Le premier examen devrait avoir lieu dans l’année qui suit l’entrée en vigueur de la décision d’adéquation.
