Le , par Harmonie Peynot - RGPD
C’est l’une des informations principales de ce début de mois de juillet : le Data Privacy Framework a été adopté par la Commission Européenne. Son objectif ? Permettre le retour des transferts de données personnelles depuis l’UE (Union Européenne) vers les USA (États-Unis).
RGPD et transferts de données hors de l’UE
Le RGPD (Règlement Général sur la Protection des Données) encadre l’ensemble du parcours de vie d’une donnée personnelle, y compris où celle-ci peut aller se balader en voyage. Pour cela, il n’y a pas 42 solutions possibles. Soit le pays de destination est un pays bénéficiant d’une décision d’adéquation (la Commission Nationale de l’Informatique et des Libertés met à disposition une carte du monde de la protection des données), soit le responsable des traitements met en place des mesures contractuelles et organisationnelles permettant de garantir un niveau de protection des données équivalent à celui de l’UE.
Concernant les États-Unis, cela se complexifie encore un peu.
Nous avons d’abord eu, avant même le RGPD, un accord nommé Safe Harbor, invalidé en 2015 par l’arrêt Schrems. Puis le Privacy Shield, invalidé par la Cour de Justice de l’UE en 2020 par l’arrêt Schrems II.
(Là normalement vous commencez à me voir venir avec le titre de l’article).
L’invalidation du Privacy Shield
En résumé et sans rentrer dans un détail juridico-somnolent, le Privacy Shield permettait aux entreprises américaines de s’auto-déclarer comme proposant un niveau de protection suffisant et ainsi de réaliser des transferts. Celui-ci a été invalidé car la législation américaine ne présentait pas vraiment (ou vraiment pas ?) la même logique de protection de la donnée personnelle et de la vie privée que le RGPD.
Entre 2020 et 2023, et plus particulièrement au cours des 12 derniers mois, il faut avouer que cela a entraîné quelques gouttes de sueur et palpitations pour les DPO (délégués à la protection des données) et responsables de traitement en rendant illégale la quasi intégralité des transferts de données personnelles vers les États-Unis ou même la sous-traitance par une entreprise américaine.
L’exemple le plus mis en avant a été le cas de Google Analytics, mais ce n’était que la partie émergée de l’iceberg. Début juillet, l’autorité de protection des données suédoise a d’ailleurs émis une sanction à ce sujet à hauteur d’un peu plus d'1 million d’euros.
Comment conjuguer concrètement, au quotidien, l’engagement de protection des données en évitant des transferts vers des pays moins protecteurs et la dépendance bien réelle des organismes aux solutions américaines ?
L’adoption du Data Privacy Framework
Le 10 juillet 2023, la Commission Européenne a annoncé avoir adopté un nouvel accord de transfert des données UE/USA : le Data Privacy Framework. Celui-ci permettra de réaliser de nouveau des transferts de données vers les États-Unis sans autre mesure complémentaire. Les entreprises américaines devront auto-certifier auprès du Département du Commerce américain qu’elles respectent les règles de protection des données. Les transferts devraient ainsi pouvoir reprendre sous peu.
Mais est-ce réellement une bonne nouvelle ?
Un accord hanté par les fantômes des précédents
Ce nouvel accord n’a pas été adopté dans le calme et la cohésion la plus complète. Depuis un an, de nombreuses voix se sont inquiétées du fait que cet accord, malgré des évolutions apportées par les États-Unis, ne serait dans le fond qu’une redite des deux accords précédents et donc synonyme d’une protection insuffisante des données. De vos données.
Parmi ces voix, des experts ou organismes spécialisés dans la protection des données (tels Max Schrems et son organisation Non Of Your Business à l’origine des arrêts Schrems et Schrems II) ou encore des autorités de protection des données comme l’EDPB (European Data Protection Board).
On pourrait résumer le sentiment global par “c’est reparti pour un tour”. Max Schrems ayant d’ores et déjà annoncé que des démarches seraient entreprises pour aller de nouveau devant la Cour de Justice Européenne afin d’invalider ce troisième accord. Une démarche qui prend beaucoup de temps et de ressources.
Mon sentiment est donc qu’il reste plus sage de garder en mémoire l’historique ainsi que l’instabilité qu’a pu entraîner l’invalidation du Privacy Shield dans les organismes. Ne relâchons pas les efforts menés ces 3 dernières années pour rapatrier nos données et profitons de cet accord pour retrouver une certaine stabilité juridique le temps de s’orienter vers des solutions européennes. Le tout sans oublier que la conformité RGPD d’un traitement ne se résume pas qu’à la légalité des transferts qu’il entraîne.
Jamais 2 arrêts Schrems sans 3 ? L’avenir nous le dira. En attendant, je retourne m’entraîner à dire sans écorcher “Data Privacy Framework” (“le nouveau Privacy Shield” ?).