Un tiers des DPO qualifie de "fragile" le Data Privacy Framework qui encadre les flux de données UE-US

L'Association française des correspondants à la protection des données à caractère personnel (AFCDP) a sondé ses membres sur le Data Privacy Framework (DPF), texte qui remplace le Privacy Shield adopté par la Commission européenne le 10 juillet 2023 après plusieurs années d'incertitudes. Il encadre les flux de données entre l'Union européenne et les Etats-Unis.

Un texte déjà remis en cause

Dans le cadre de la 9ème édition de son baromètre trimestriel, 50% des 274 membres ont répondu que l'accord ne résolvait pas le problème et 33% pensent qu'il est fragile. C'est la forte probabilité de sa remise en cause qui inquiète les membres de l'association "tant sa mise en place a été l'objet de réticences", explique Paul-Olivier Gibert, président de l'AFCDP. Il vise "les autorités de contrôle, homologues de la Cnil, réunies au sein du CEPD/EDPB, mais aussi du Parlement européen". Max Schrems, un militant pour la vie privée et président de l'association autrichienne Noyb, a prévu que "plusieurs possibilités de contestations" étaient "dans le tiroir". Ce dernier avait réussi à faire annuler Privacy Shield, successeur du Safe Harbor lui-même contesté par le militant.

La première objection est venue de la France par le député MoDem Philippe Latombe. Début septembre, il a déposé un recours en référé devant la Cour de justice de l'Union européenne en sa qualité de citoyen. Il dénonçait un "tropisme américano-centré" : "il ne pouvait en naître qu'un dispositif profondément déséquilibré, construit au détriment du droit européen, pourtant plus protecteur en matière de données personnelles, et in fine des citoyens de l'Union".

Le recours de Philippe Latombe rejeté

La CJUE a annulé ce recours dans une décision rendue le 12 octobre jugeant que le caractère d'urgence – critère indispensable à la recevabilité d'un recours en annulation en référé – n'était pas rempli. "Les arguments relatifs à l'absence d'un niveau adéquat de protection des données à caractère personnel aux Etats-Unis (..) ne permettent pas d'établir l'existence d'un préjudice grave et irréparable", ont conclu les juges européens.

Le litige au fond doit être encore tranché. Une réponse importante, d'après l'association, pour "savoir si les organisations vont pouvoir s'appuyer dessus". A ce titre, elle rappelle que le DPF ne garantit pas la conformité globale des traitements effectués aux Etats-Unis. En effet, il ne concerne que les entreprises et "uniquement celles qui s'engagent dans la procédure d'auto-certification". Ainsi, seuls les transferts vers les entités américains certifiées ne nécessitent pas l'utilisation d'outils d'encadrements supplémentaires (article 46 du Règlement général sur la protection des données). En pratique, avant de procéder aux transferts, les organismes doivent s'assurer que l'organisme destinataire figure bien sur la liste des entreprises auto-certifiées.

Une nouvelle annulation provoquerait une réaction en chaîne

L'annulation a posteriori du nouveau cadre entraînerait de nombreuses conséquences. Il suffit de rappeler les effets en cascade de l'invalidation du Privacy Shield provoquant une importante insécurité juridique : tous les transferts de données outre-Atlantique étaient remis en cause. Une catastrophe, avaient alerté le Syntec Numérique, Tech In France et l'Alliance française des industries du numérique (Afnum) dans une lettre rappelant que les transferts de données vers les Etats-Unis étaient "incontournables" dans "un contexte de plus en plus digitalisé et mondialisé".

Sélectionné pour vous

Une organisation sur deux a déjà écarté une solution IT pour des raisons de souveraineté

Droits d'auteur : Anthropic met fin à un procès en payant 1,5 milliard de dollars

Supply chain, gouvernance, audibilité : Les leçons à tirer du stress test sur la sécurisation de l'IA