Data Privacy Framework

accord international

Le Data Privacy Framework (DPF) ou le Trans-Atlantic Data Privacy Framework (littéralement le Cadre de protection des données UE - États-Unis) est le nouveau système d'échange de données entre les États-Unis et l'Europe qui succède au Privacy Shield. Il a été construit entre l'Union européenne et les États-Unis à partir de 2022.

Cadre de protection des données UE - États-Unis

Présentation
Titre DÉCISION D’EXÉCUTION (UE) 2023/1795 DE LA COMMISSION du 10 juillet 2023 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - États-Unis
Sigle DPF
Référence Décision d'exécution (UE) no 2023/1795
Organisation internationale Drapeau de l’Union européenne Union européenne
Territoire d'application Espace économique européen
Type Décision d'exécution de la Commission européenne
Branche Droit de l'Internet
Adoption et entrée en vigueur
Législature 9e législature
Gouvernement Commission von der Leyen
Adoption
Publication
Entrée en vigueur .

Lire en ligne

Décision d'adéquation

Contexte

modifier

Alors que le Privacy Shield et le Safe Harbor ont été tous deux annulés par la Cour de justice de l'Union européenne dans les arrêts Schrems, les États-Unis et l'Europe se sont entendus pour créer un nouveau cadre qui aurait l'agrément de tous. Les dispositifs précédents avaient péché par leur manque de protection des données des citoyens européens lorsque les données étaient transférées aux États-Unis.

Le 25 mars 2022 la Commission Européenne et les États-Unis ont manifesté le souhait de travailler ensemble à l'élaboration d'un cadre commun pour l'échange des données[1].

Le 6 avril 2022, le Comité européen de la protection des données (CEPD) accueille favorablement la volonté des États-Unis de mieux protéger les citoyens européens, notamment vis-à-vis de la possibilité donnée aux services de sécurité américains de collecter les données des citoyens européens[2],[3].

Cadre juridique du nouvel accord

modifier

Un accord de principe entre les États-Unis et l'Europe a été trouvé en mars 2022. Accord critiqué par Philippe Latombe, le rapporteur d'une récente mission parlementaire sur la souveraineté numérique, comme étant la contrepartie d'un accord de fourniture de gaz américain à la suite des restrictions nées des sanctions occidentales envers la Russie[4],[5]..

Le 07 octobre 2022, Joe Biden a signé un décret présidentiel créant les conditions d'un cadre juridique pour un Privacy Shield 2.0. Le décret exécutif, dénommé Enhancing Safeguards For United States Signals Intelligence Activities (littéralement Renforcement des garanties pour les activités de renseignement électromagnétique des États-Unis) permet un encadrement des services de sécurité américains dans leur surveillance des données provenant des européens. Chaque étape depuis la collecte jusqu'au traitement par les services de sécurité devra être justifiée et son objectif légitime détaillé[6],[7].

La collecte de données

modifier

La collecte des données par les services de renseignement américains est encadrée par le texte de l'accord. L'objectif de la collecte, obligatoirement relatif à des enjeux de sécurité nationale, est listé dans l'accord.

La collecte ne peut être motivée par un objectif prohibé ; une liste d'objectifs prohibés est présente dans l'accord.

La collecte doit prendre en compte les droits civils[6].

Le traitement des données

modifier

Des limites en termes de dissémination des informations collectées sont posées.

Des limites en termes de conservation des données dans le temps sont posées[6].

Les procédures de recours

modifier

Cet accord crée une nouvelle cour de justice, la Data Protection Review Court (DPRC), située aux États-Unis, capable de demander la suppression ou la modification des données. L'accès à cette cour sera examiné par un agent de protection des libertés civiles, agent issu des services de renseignement américain. L'accès à cette cour américaine se fera par la saisine en Europe, de l'autorité nationale de protection des données (la CNIL pour la France)[8],[9],[6].

Les insuffisances juridiques

modifier

Du côté européen, nombreux sont les juristes à pointer du doigt le manque d'impartialité et d'indépendance de la DPRC, une cour américaine qui devra juger selon les lois américaines. Or la loi américaine se fonde sur la primauté de la sécurité nationale sur les droits du citoyen, le contraire du RGPD européen.

Du côté des entreprises, l'absence de cadre juridique fait que le lobby de la tech américaine - Computer & Communications Industry Association (en) - se félicite de ce nouveau texte en préparation[10].

Le 30 juin 2023, les agences américaines de renseignement ont adopté de nouvelles procédures de sécurité concernant le traitement des données des européens une fois arrivées sur le sol américain. Mais la section 702 de la FISA a été maintenue qui permet un espionnage en règle de toutes les informations des européens sans aucune garantie ni garde-fou. Or c'est ce même texte qui avait fait capoter le Privacy Shield et le Safe Harbor avec les arrêts Schrems respectivement en 2015 et en 2020.

D'un coté les instances américaines estiment avoir fait un grand pas vers plus de respect des données des européens. D'un autre coté, tant la réunion des CNIL européennes que le Parlement ont souligné les insuffisances des textes américains en termes de garantie et de protection des européens[11].

Max Schrems, via son association NOYB souligne que le Data Privacy Framework est un copié-collé du Privacy Shield. À ce titre il sera contesté devant la Cour de justice de l'Union européenne. Pose notamment problème, le tribunal de recours qui n'est pas une juridiction judiciaire, mais dépend de l'exécutif américain, sans possibilité d'appel[12].

Enfin la pérennité de l'accord dépend aussi du pouvoir politique. Si l'accord contient des faiblesses internes notamment au niveau des procédures de recours, il comporte également des risques politiques. Les procédures de recours portent sur la création d'une cour d'appel américaine, instance exécutive américaine qui ne doit son existence qu'à un décret présidentiel. Ce qu'un décret présidentiel a fait peut être défait lors de l'arrivée d'une autre majorité présidentielle au pouvoir[13].

Processus d'adoption devant les instances européennes

modifier

Une fois le texte rédigé coté américain, il lui faut passer les différentes étapes européennes à savoir :

  1. la Commission européenne,
  2. le Comité européen de la protection des données,
  3. le Parlement européen,
  4. la commission formée par les représentants des états membres[10].

Au niveau de la Commission Européenne

modifier

La Commission Européenne a émis le 13 décembre une décision d'adéquation de l'Enhancing Safeguards For United States Signals Intelligence Activities. Comme l'a souligné le Commissaire européen à la Justice, Didier Reynders, « De solides mesures de protection sont désormais en place aux États-Unis pour permettre le transfert sûr de données personnelles de part et d'autre de l'Atlantique. Nous sommes maintenant confiants pour pouvoir passer à l'étape suivante de la procédure d'adoption ». Ce sera ensuite au Comité européen de la protection des données de se prononcer. Mais pour beaucoup de juristes européens, le décret Biden n'offre pas le niveau de transparence suffisant ni l'impartialité attendue puisque la juridiction d'appel sera américaine et la loi américaine stipule que la sécurité nationale est supérieure au droit des citoyens. L'inverse de ce qu'établit le droit européen[10].

Au niveau du Comité européen de protection des données

modifier

Le 28 février 2023, le CEPD a émis un avis non contraignant soulignant ses préoccupations quant au texte analysé. La présidente du Comité Andrea Jelinek (de) a exprimé ses inquiétudes au niveau des aspects commerciaux sur les dérogations au droit d'accès, sur le profilage, sur le manque de clarté pour les sous-traitants par exemple. Le CEPD demande la clarification des exemptions à l'obligation d'adhérer aux principes du Data Privacy Framework (DPF). Le CEPD est également préoccupé par l'absence d'exigence d'autorisation préalable pour la collecte en masse de données et par l'absence d'appel de la décision de la DPRC[14].

Au niveau du Parlement européen

modifier

Les députés européens ont voté une motion le 13 avril 2023, engageant la Commission à ne pas adopter la décision d'adéquation tant que les inquiétudes émises par le CEPD n'auront pas été chassées. Enfin le législateur demande à la Commission que les intérêts politiques ou commerciaux ne soient pas pris en compte dans la décision d'adéquation[15].

Le vote du parlement européen a été défavorable à l'application de cet accord dans ces termes actuels. La motion a été acceptée avec un vote largement favorable (306 pour, 27 contre). Le parlement juge insuffisants les efforts américains pour rendre le cadre des échanges transatlantiques de données suffisamment protecteur pour les européens. Les parlementaires européens ont relevé une dizaine de points qui pêchent par une insuffisance d'engagement des États-Unis.

Le premier de ces points souligne la différence de perception des deux côtés de l'Atlantique des principes de proportionnalité et de nécessité. Ces deux notions fondent l'essence des garanties données par les États-Unis aux Européens dans l'ordre exécutif no 14086. La liste des finalités légitimes est définie dans cet ordre exécutif. Mais elle peut être redéfinie à souhait par le président américain, sans information du public ou des européens. Par ailleurs l'ordre exécutif n'interdit pas aux américains de pouvoir procéder à la collecte massive de données des européens ni à obtenir une autorisation préalable pour une telle collecte. Les députés européens alertent sur l'absence de règles claires en matière de conservation des données. Le parlement note également que le mécanisme de recours à deux niveaux ne permet pas au citoyen européen de faire jouer son droit d'accès et de modifier les données le concernant. Par ailleurs le mécanisme de recours n'est pas accompagné d'un dispositif d'appel de la décision[16].

Au niveau de la commission des états membres

modifier

Le 4 juillet 2023, le Data Privacy Framework a été validé par 24 pays, trois membres de la commission s'étant abstenus[17]. Le 10 juillet suivant, la décision d'adéquation a été prise par la Commission européenne[18]. Le Data Privacy Framework fournit à partir de juillet 2023 le nouveau cadre réglementaire et juridique entre les États-Unis et l'Europe. Tant du côté américain que du côté européen, on se félicite de ce nouveau cadre légal après des années d'incertitude. La Commission européenne prévoit d'examiner à intervalles réguliers l'adéquation du cadre réglementaire afin de déterminer s'il définit toujours un cadre adéquat de protection des données équivalent au RGPD[19].

Contestation de l'accord

modifier

Le député Modem Philippe Latombe a déposé un recours le 7 septembre 2023 devant la Cour de justice de l'Union européenne contre l'accord transatlantique. Il lui reproche de ne toujours pas respecter les droits des citoyens européens quant à la protection des données personnelles[20]. Selon Philippe Latombe, il y a toujours une incompatibilité entre le RGPD et la pratique américaine qui privilégie le droit des états par rapport au droit des citoyens. Ainsi des textes américains comme le CLOUD Act ou la loi FISA sont particulièrement pointés du doigt car ils permettent la surveillance de masse au nom de la sécurité nationale[21],[22].

En octobre 2023 la cour a rejeté sa demande pour argumentation insuffisante[23].

Articles connexes

modifier

Documentation

modifier

Notes et références

modifier

Références

modifier
  1. « Déclaration conjointe de la Commission européenne et des États-Unis sur le cadre transatlantique de protection des données personnelles » Accès libre, Commission Européenne, (consulté le )
  2. « Déclaration du CEPD » Accès libre, CNIL, (consulté le )
  3. Julien Lausson, « Les Cnil de l’UE accueillent avec prudence le plan pour transférer les données vers les USA » Accès libre, Numerama, (consulté le )
  4. Florian Dèbes, « Accord surprise sur le transfert des données personnelles entre l'Europe et les Etats-Unis » Accès libre, Les Échos, (consulté le )
  5. Florian Dèbes, « Transfert de données : les dessous d'une négociation » Accès payant, La Tribune, (consulté le )
  6. a b c et d Valérie Chavanne, « Joe Biden signe le décret présidentiel "Enhancing Safeguards For United States Signals Intelligence Activities" : vers un rétablissement pérenne des transferts transatlantiques de données » Accès libre, Journal du Net, (consulté le )
  7. (en) « Executive order on Enhancing Safeguards for United States Signals Intelligence Activities », US Government, (consulté le )
  8. Ingrid Vergara, « Transfert des données avec l'Europe : les États-Unis présentent les nouvelles règles de l'accord » Accès libre, Le Figaro, (consulté le )
  9. Fabienne Schmitt, « Transfert des données : l'Europe et les Etats-Unis parachèvent leur bouclier » Accès libre, Les Échos, (consulté le )
  10. a b et c Sylvain Rolland, « Transferts de données aux Etats-Unis : l'UE fait un pas de plus vers un accord très incertain » Accès libre, La Tribune, (consulté le )
  11. Stéphanie Bascou, « Transfert de données transatlantique : Les États-Unis n’apporteront pas de garanties supplémentaires aux Européens » Accès libre, 01 Net, (consulté le )
  12. Jacques Cheminat, « Le Data Privacy Framework entériné et déjà contesté » Accès libre, Le Monde Informatique, (consulté le )
  13. Charlotte Trueman, « Data Privacy Framework, un accord juridiquement et politiquement fragile » Accès libre, Le Monde Informatique, (consulté le )
  14. (en) « EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain » Accès libre, EDBP, (consulté le )
  15. Luca Bertuzzi, « Les eurodéputés demandent une renégociation du cadre de transfert de données entre l’UE et les États-Unis » Accès libre, Euractiv, (consulté le )
  16. (en) Jude Karabus, « Privacy Framework draft isn't 'future-proof', say MEPs » Accès libre, The Register, (consulté le )
  17. « Telex : Le Data Privacy Framework en bonne voie, IBM ferme son cloud pour l'éducation, GPT-4 disponible pour tous » Accès libre, Le Monde Informatique, (consulté le )
  18. Nicolas Lellouche, « Transfert de données : ce que change l’accord entre l’Europe et les États-Unis » Accès libre, Numerama, (consulté le )
  19. Julia Tar, « RGPD : la Commission européenne adopte un cadre de transfert de données avec les États-Unis » Accès libre, Euractiv, (consulté le )
  20. Aurélien Defer, « Le député Philippe Latombe dépose un recours contre le Data Privacy Framework qui lie l'UE et les Etats-Unis » Accès libre, L'Usine Digitale, (consulté le )
  21. Sylvain Rolland, « Souveraineté numérique : le coup de poker du député Philippe Latombe pour torpiller les transferts de données vers les Etats-Unis » Accès libre, La Tribune, (consulté le )
  22. Théo Janvier, « Philippe Latombe (Assemblée Nationale) "Avec le Data Privacy Framework, un citoyen européen a moins de droits que le citoyen américain " » Accès libre, Journal Du Net, (consulté le )
  23. « Le député Philippe Latombe débouté par la CUEJ pour la suspension du transfert des données » Accès libre, Stratégies, (consulté le )