Le 11 juillet 2023, le nouvel accord sur le transfert de données personnelles entre l’UE et les États-Unis a été adopté, le cadre de protection des données UE-États-Unis ou DPF. Cet accord vise à faciliter le transfert de données personnelles de l’UE vers les États-Unis en garantissant que les entreprises américaines participantes respectent les règles de protection des données de l’UE grâce à la “nouvelle” certification.
D’un point de vue temporel, cette nouvelle décision d’adéquation, qui remplace le précédent Privacy Shield, intervient trois ans presque jour pour jour après son invalidation par la Cour de justice de l’Union européenne (CJUE) en juillet 2020 dans l’arrêt dit Schrems II. De 2016 à 2020, le Privacy Shield était la garantie pour les entreprises américaines certifiées de se conformer aux exigences de l’UE en matière de protection des données. En fin de compte, il a été invalidé parce que les entreprises étaient toujours légalement tenues de coopérer avec les autorités américaines qui demandaient des données personnelles – en particulier avec les agences de renseignement. Les données des clients et des citoyens européens étaient également concernées.
Au cours des trois dernières années, toutes les parties concernées ont alors opté pour des clauses contractuelles types, qui devaient désormais sécuriser les transferts. La mise à jour des clauses en 2021 n’a pas facilité les choses, car les contrats existants ont dû être à nouveau adaptés.
Aujourd’hui, quelques mois seulement après la publication du premier projet, le DPF est définitif. L’Union européenne a donc mis en place une décision d’adéquation, non pas pour les États-Unis dans leur ensemble, mais pour les entreprises basées aux États-Unis et certifiées. Cette certification doit être renouvelée chaque année. Comme cela a été suffisamment signalé dans la communauté de la protection des données, certaines réglementations sont encore vagues. Par exemple, un décret présidentiel peut être invalidé par une simple signature d’un futur président, et concernant les termes proportionnalité et nécessité au cœur du décret, les opinions divergent une fois de plus des deux côtés de l’Atlantique. Bien que le mot proportionnalité ait été inclus, les avis divergent sur le sens et l’interprétation du mot “proportionnalité”.
La procédure de certification a été publiée. En examinant de plus près la publication du ministère du commerce, il apparaît clairement que, comme auparavant, il s’agit d’une simple auto-certification des entreprises. Il suffit simplement d’une politique de protection des données rendue publique, d’un mécanisme de plainte auprès d’un tiers indépendant et d’un engagement en matière de sécurité du traitement. Les autres principes à respecter sont la responsabilité, l’intégrité des données et la limitation des finalités, ainsi que le respect des droits des personnes concernées, tels que le droit d’accès et d’effacement. En ce qui concerne la compréhension des notions d’opt-in et d’opt-out, il existe déjà une différence entre les deux régions. Alors que pour l’UE, l’opt-in, c’est-à-dire le consentement clair, s’applique, aux États-Unis, c’est l’opt-out, c’est-à-dire l’opposition claire, qui doit être proposé. La protection de la vie privée par défaut fonctionne en fait différemment.
Le seuil pour l’obtention d’une certification DPF est à considérer comme extrêmement bas. A la date de la rédaction du présent article, plus de 2 600 entreprises figuraient déjà sur la liste des entreprises certifiées, y compris de grandes entreprises technologiques qui sont encore fréquemment condamnées à des amendes dans l’Union européenne pour diverses violations. Le seuil est donc au ras des pâquerettes.
Avant que l’accord ne soit finalisé, le Conseil européen de la protection des données (CEPD), qui représente toutes les autorités chargées de la protection des données dans l’UE, et le Parlement européen ont tous deux évalué le projet. Tous deux ont salué l’intention de base, mais ont émis des critiques considérables sur le projet qui deviendrait éventuellement la forme finale du DPF. Une partie des critiques portait sur le manque de sécurité juridique, les mots clés étant le décret et la proportionnalité. En outre, le manque de clarté et de certitude concernant les principes applicables aux services de renseignement, ainsi que le manque d’informations sur la manière dont ces principes seraient mis en œuvre à l’échéance d’octobre 2023, ont également été critiqués. Enfin, le mécanisme de plainte a également été critiqué pour son manque de transparence. Toutes ces critiques ont déjà été confirmées par NOYB, l’association de Max Schrems, qui prépare déjà une nouvelle requête auprès de la CJUE.
Compte tenu des faiblesses mentionnées et du seuil très bas de l’auto-certification, le DPF sera vraisemblablement invalidé dans les prochaines années et entraînera à nouveau des difficultés et des incertitudes pour les transferts de données vers les États-Unis.
La sécurité juridique à long terme pour les entreprises européennes et pour nos clients se présente différemment. La protection des données reste passionnante.
