Les États-Unis et l’Union européenne (UE) viennent d’établir un nouvel accord pour le transfert de données transatlantiques. Si les deux instances se félicitent de ce nouveau texte, il est déjà ciblé par les critiques des défenseurs de la vie privée.
Un texte particulièrement attendu
Baptisé Data Privacy Framework (DPF), cet accord était particulièrement attendu. Le transfert de données transatlantiques n’était régi par aucun texte depuis 2020, lorsqu’il a été annulé par la Cour de Justice de l’Union européenne (CJUE). En cause, l’accès aux données personnelles des Européens par les services de renseignements américains. L’absence de législation a causé du tort à plusieurs entreprises, notamment à Meta qui a écopé d’une amende d’1,2 milliard d’euros.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
« Le nouveau cadre UE-États-Unis de protection des données garantira la sécurité des flux de données pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l’Atlantique », assure Ursula von der Leyen, présidente de la Commission européenne. Les deux parties avaient établi un accord de principe en mars dernier. Le DPF introduit un tribunal de révision de la protection des données, auquel les individus de l’UE auront accès. Il sera nommé Data Protection Review Court (DPRC).
We adopted our adequacy decision for the 🇪🇺🇺🇸Data Privacy Framework, following the agreement I had reached with @POTUS last year.
I welcome the important commitments taken by the US.
So that citizens can trust that their data is safe and so we can deepen economic ties.
— Ursula von der Leyen (@vonderleyen) July 10, 2023
Ces derniers bénéficieront de plusieurs recours en cas de mauvaise manipulation de leurs données par les entreprises américaines, notamment des mécanismes de résolution indépendants des litiges. Ils auront également accès à un processus de recours indépendant et impartial concernant la collecte et l’utilisation de leurs données par les agences de renseignement américaines.
« Aujourd’hui, nous prenons une mesure importante pour rassurer les citoyens sur la sécurité de leurs données, pour renforcer les liens économiques entre l’UE et les États-Unis et, en même temps, pour réaffirmer nos valeurs communes. Cela montre qu’en travaillant ensemble, nous pouvons résoudre les problèmes les plus complexes », a continué la présidente de la Commission européenne.
Les nouvelles garanties en matière d’accès gouvernemental aux données viendront compléter les obligations auxquelles les entreprises américaines devront souscrire lors de l’importation de données en provenance de l’UE. Si le tribunal constate que des données ont été collectées en violation des nouvelles garanties, il pourra ordonner leur suppression.
Le Data Privacy Framework est déjà contesté
Le contenu de cet accord, le troisième depuis 2000, est d’ores et déjà dans le viseur de Max Schrems. Cet avocat autrichien, spécialiste de la vie privée, est parvenu à faire tomber les accords précédents à deux reprises. Son association, Noyb, a également déposé plainte contre 101 entreprises européennes pour non-respect du RGPD.
Selon lui, le Data Privacy Framework n’est autre qu’une « copie » du Privacy Shield. Il dénonce le fait que les Européens sont perçus en tant que citoyens de « seconde classe » aux yeux de la loi américaine, même si le nouvel accord qualifie l’UE de partenaire des États-Unis. L’avocat s’inquiète également du tribunal mis en place par le DPF, qui ne serait pas une juridiction « au sens juridique normal de l’article 47 de la Charte ou de la Constitution américaine, mais un organe relevant du pouvoir exécutif du gouvernement américain ».
So today @EU_Justice is announcing #SafeHarbor 3.0!
‘After a « Harbor », « Umbrella » and « #PrivacyShield » it’s now a « #Framework« , but guess what: it is largely a copy of the old principles! #WhatCouldGoWrong
We got our picture ready – more at 15:30 on https://t.co/QnIt9qQJEf! 😉 pic.twitter.com/cw1n0TQblB
— Max Schrems 🇪🇺 (@maxschrems) July 10, 2023
Dans un billet de blog publié via le site de son association, Schrems conteste certains termes flous employés dans le texte, estimant qu’ils pourront être interprétés à la guise des décideurs américains. L’avocat explique qu’« aucune modification substantielle de la législation américaine en matière de surveillance » n’a eu lieu. Tant que ce ne sera pas le cas, ces accords ne pourront pas être viables, affirme-t-il.
Noyb se dit déjà prête à contester le Data Privacy Framework devant la Cour de justice de l’UE.