Data Privacy Framework

Données clés
Titre	DÉCISION D’EXÉCUTION (UE) 2023/1795 DE LA COMMISSION du 10 juillet 2023 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - États-Unis
Sigle	DPF
Référence	Décision d'exécution (UE) no 2023/1795
Organisation internationale	Union européenne
Territoire d'application	Espace économique européen
Type	Décision d'exécution de la Commission européenne
Branche	Droit de l'Internet
Législature	9e législature
Gouvernement	Commission von der Leyen
Adoption	10 juillet 2023
Publication	20 septembre 2023
Entrée en vigueur	20 septembre 2023.

Le Data Privacy Framework (DPF) ou le Trans-Atlantic Data Privacy Framework (littéralement le Cadre de protection des données UE - États-Unis) est le nouveau système d'échange de données entre les États-Unis et l'Europe qui succède au Privacy Shield. Il a été construit entre l'Union européenne et les États-Unis à partir de 2022.

Contexte[modifier | modifier le code]

Alors que le Privacy Shield et le Safe Harbor ont été tous deux annulés par la Cour de justice de l'Union européenne dans les arrêts Schrems, les États-Unis et l'Europe se sont entendus pour créer un nouveau cadre qui aurait l'agrément de tous. Les dispositifs précédents avaient pêché par leur manque de protection des données des citoyens européens lorsque les données étaient transférées aux États-Unis.

Le 25 mars 2022 la Commission Européenne et les États-Unis ont manifesté le souhait de travailler ensemble à l'élaboration d'un cadre commun pour l'échange des données^[1].

Le 6 avril 2022, le Comité européen de la protection des données (CEPD) accueille favorablement la volonté des États-Unis de mieux protéger les citoyens européens, notamment vis-à-vis de la possibilité donnée aux services de sécurité américains de collecter les données des citoyens européens^[2]^,^[3].

Cadre juridique du nouvel accord[modifier | modifier le code]

Un accord de principe entre les États-Unis et l'Europe a été trouvé en mars 2022. Accord critiqué par Philippe Latombe, le rapporteur d'une récente mission parlementaire sur la souveraineté numérique, comme étant la contrepartie d'un accord de fourniture de gaz américain à la suite des restrictions nées des sanctions occidentales envers la Russie^[4]^,^[5]..

Le 07 octobre 2022, Joe Biden a signé un décret présidentiel créant les conditions d'un cadre juridique pour un Privacy Shield 2.0. Le décret exécutif, dénommé Enhancing Safeguards For United States Signals Intelligence Activities (littéralement Renforcement des garanties pour les activités de renseignement électromagnétique des États-Unis) permet un encadrement des services de sécurité américains dans leur surveillance des données provenant des européens. Chaque étape depuis la collecte jusqu'au traitement par les services de sécurité devra être justifiée et son objectif légitime détaillé^[6]^,^[7].

La collecte de données[modifier | modifier le code]

La collecte des données par les services de renseignement américains est encadrée par le texte de l'accord. L'objectif de la collecte, obligatoirement relatif à des enjeux de sécurité nationale, est listé dans l'accord.

La collecte ne peut être motivée par un objectif prohibé ; une liste d'objectifs prohibés est présente dans l'accord.

La collecte doit prendre en compte les droits civils^[6].

Le traitement des données[modifier | modifier le code]

Des limites en termes de dissémination des informations collectées sont posées.

Des limites en termes de conservation des données dans le temps sont posées^[6].

Les procédures de recours[modifier | modifier le code]

Cet accord crée une nouvelle cour de justice, la Data Protection Review Court (DPRC), située aux États-Unis, capable de demander la suppression ou la modification des données. L'accès à cette cour sera examiné par un agent de protection des libertés civiles, agent issu des services de renseignement américain. L'accès à cette cour américaine se fera par la saisine en Europe, de l'autorité nationale de protection des données (la CNIL pour la France)^[8]^,^[9]^,^[6].

Les insuffisances juridiques[modifier | modifier le code]

Du côté européen, nombreux sont les juristes à pointer du doigt le manque d'impartialité et d'indépendance de la DPRC, une cour américaine qui devra juger selon les lois américaines. Or la loi américaine se fonde sur la primauté de la sécurité nationale sur les droits du citoyen, le contraire du RGPD européen.

Du côté des entreprises, l'absence de cadre juridique fait que le lobby de la tech américaine - Computer & Communications Industry Association (en) - se félicite de ce nouveau texte en préparation^[10].

Le 30 juin 2023, les agences américaines de renseignement ont adopté de nouvelles procédures de sécurité concernant le traitement des données des européens une fois arrivées sur le sol américain. Mais la section 702 de la FISA a été maintenue qui permet un espionnage en règle de toutes les informations des européens sans aucune garantie ni garde-fou. Or c'est ce même texte qui avait fait capoter le Privacy Shield et le Safe Harbor avec les arrêts Schrems respectivement en 2015 et en 2020.

D'un coté les instances américaines estiment avoir fait un grand pas vers plus de respect des données des européens. D'un autre coté, tant la réunion des CNIL européennes que le Parlement ont souligné les insuffisances des textes américains en terme de garantie et de protection des européens^[11].

Max Schrems, via son association NOYB souligne que le Data Privacy Framework est un copié-collé du Privacy Shield. A ce titre il sera contesté devant la Cour de justice de l'Union européenne. Pose notamment problème, le tribunal de recours qui n'est pas une juridiction judiciaire, mais dépend de l'exécutif américain, sans possibilité d'appel^[12].

Enfin la pérennité de l'accord dépend aussi du pouvoir politique. Si l'accord contient des faiblesses internes notamment au niveau des procédures de recours, il comporte également des risques politiques. Les procédures de recours portent sur la création d'une cour d'appel américaine, instance exécutive américaine qui ne doit son existence qu'à un décret présidentiel. Ce qu'un décret présidentiel a fait peut être défait lors de l'arrivée d'une autre majorité présidentielle au pouvoir^[13].

Processus d'adoption devant les instances européennes[modifier | modifier le code]

Une fois le texte rédigé coté américain, il lui faut passer les différentes étapes européennes à savoir :

la Commission européenne,
le Comité européen de la protection des données,
le Parlement européen,
la commission formée par les représentants des états membres^[10].

Au niveau de la Commission Européenne[modifier | modifier le code]

La Commission Européenne a émis le 13 décembre une décision d'adéquation de l'Enhancing Safeguards For United States Signals Intelligence Activities. Comme l'a souligné le Commissaire européen à la Justice, Didier Reynders, « De solides mesures de protection sont désormais en place aux États-Unis pour permettre le transfert sûr de données personnelles de part et d'autre de l'Atlantique. Nous sommes maintenant confiants pour pouvoir passer à l'étape suivante de la procédure d'adoption ». Ce sera ensuite au Comité européen de la protection des données de se prononcer. Mais pour beaucoup de juristes européens, le décret Biden n'offre pas le niveau de transparence suffisant ni l'impartialité attendue puisque la juridiction d'appel sera américaine et la loi américaine stipule que la sécurité nationale est supérieure au droit des citoyens. L'inverse de ce qu'établit le droit européen^[10].

Au niveau du Comité européen de protection des données[modifier | modifier le code]

Le 28 février 2023, le CEPD a émis un avis non contraignant soulignant ses préoccupations quant au texte analysé. La présidente du Comité Andrea Jelinek (de) a exprimé ses inquiétudes au niveau des aspects commerciaux sur les dérogations au droit d'accès, sur le profilage, sur le manque de clarté pour les sous-traitants par exemple. Le CEPD demande la clarification des exemptions à l'obligation d'adhérer aux principes du Data Privacy Framework (DPF). Le CEPD est également préoccupé par l'absence d'exigence d'autorisation préalable pour la collecte en masse de données et par l'absence d'appel de la décision de la DPRC^[14].

Au niveau du Parlement européen[modifier | modifier le code]

Les députés européens ont voté une motion le 13 avril 2023, engageant la Commission à ne pas adopter la décision d'adéquation tant que les inquiétudes émises par le CEPD n'auront pas été chassées. Enfin le législateur demande à la Commission que les intérêts politiques ou commerciaux ne soient pas pris en compte dans la décision d'adéquation^[15].

Le vote du parlement européen a été défavorable à l'application de cet accord dans ces termes actuels. La motion a été acceptée avec un vote largement favorable (306 pour, 27 contre). Le parlement juge insuffisants les efforts américains pour rendre le cadre des échanges transatlantiques de données suffisamment protecteur pour les européens. Les parlementaires européens ont relevé une dizaine de points qui pêchent par une insuffisance d'engagement des États-Unis.

Le premier de ces points souligne la différence de perception des deux côtés de l'Atlantique des principes de proportionnalité et de nécessité. Ces deux notions fondent l'essence des garanties données par les États-Unis aux Européens dans l'ordre exécutif n°14086. La liste des finalités légitimes est définie dans cet ordre exécutif. Mais elle peut être redéfinie à souhait par le président américain, sans information du public ou des européens. Par ailleurs l'ordre exécutif n'interdit pas aux américains de pouvoir procéder à la collecte massive de données des européens ni à obtenir une autorisation préalable pour une telle collecte. Les députés européens alertent sur l'absence de règles claires en matière de conservation des données. Le parlement note également que le mécanisme de recours à deux niveaux ne permet pas au citoyen européen de faire jouer son droit d'accès et de modifier les données le concernant. Par ailleurs le mécanisme de recours n'est pas accompagné d'un dispositif d'appel de la décision^[16].

Au niveau de la commission des états membres[modifier | modifier le code]

Le 4 juillet 2023, le Data Privacy Framework a été validé par 24 pays, 3 membres de la commission s'étant abstenus^[17]. Le 10 juillet suivant, la décision d'adéquation a été prise par la Commission européenne^[18]. Le Data Privacy Framework fournit à partir de juillet 2023 le nouveau cadre réglementaire et juridique entre les États-Unis et l'Europe. Tant du coté américain que du coté européen, on se félicite de ce nouveau cadre légal après des années d'incertitude. La Commission européenne prévoit d'examiner à intervalles réguliers l'adéquation du cadre réglementaire afin de déterminer s'il définit toujours un cadre adéquat de protection des données équivalent au RGPD^[19].

Contestation de l'accord[modifier | modifier le code]

Le député Modem Philippe Latombe a déposé un recours le 7 septembre 2023 devant la Tribunal de l'union européenne contre l'accord transatlantique. Il lui reproche de ne toujours pas respecter les droits des citoyens européens quant à la protection des données personnelles^[20]. Selon Philippe Latombe, il y a toujours une incompatibilité entre le RGPD et la pratique américaine qui privilégie le droit des états par rapport au droit des citoyens. Ainsi des textes américains comme le CLOUD Act ou la loi FISA sont particulièrement pointés du doigt car ils permettent la surveillance de masse au nom de la sécurité nationale^[21]^,^[22].

En octobre 2023 la cour a rejeté sa demande pour argumentation insuffisante^[23].

Articles connexes[modifier | modifier le code]

Comité européen de la protection des données
Bouclier de protection des données UE-États-Unis (Privacy Shield)
Safe Harbor

Documentation[modifier | modifier le code]

Notes et références[modifier | modifier le code]

Références[modifier | modifier le code]

↑ « Déclaration conjointe de la Commission européenne et des États-Unis sur le cadre transatlantique de protection des données personnelles » , Commission Européenne, 25 mars 2022 (consulté le 15 avril 2022)
↑ « Déclaration du CEPD » , CNIL, 13 avril 2022 (consulté le 15 avril 2022)
↑ Julien Lausson, « Les Cnil de l’UE accueillent avec prudence le plan pour transférer les données vers les USA » , Numerama, 14 avril 2022 (consulté le 15 avril 2022)
↑ Florian Dèbes, « Accord surprise sur le transfert des données personnelles entre l'Europe et les Etats-Unis » , Les Échos, 25 mars 2022 (consulté le 7 octobre 2022)
↑ Florian Dèbes, « Transfert de données : les dessous d'une négociation » , La Tribune, 29 avril 2022 (consulté le 12 octobre 2023)
↑ ^{a b c et d} Valérie Chavanne, « Joe Biden signe le décret présidentiel "Enhancing Safeguards For United States Signals Intelligence Activities" : vers un rétablissement pérenne des transferts transatlantiques de données » , Journal du Net, 25 octobre 2022 (consulté le 25 octobre 2022)
↑ (en) « Executive order on Enhancing Safeguards for United States Signals Intelligence Activities », US Government, 7 octobre 2022 (consulté le 7 octobre 2022)
↑ Ingrid Vergara, « Transfert des données avec l'Europe : les États-Unis présentent les nouvelles règles de l'accord » , Le Figaro, 7 octobre 2022 (consulté le 7 octobre 2022)
↑ Fabienne Schmitt, « Transfert des données : l'Europe et les Etats-Unis parachèvent leur bouclier » , Les Échos, 7 octobre 2022 (consulté le 7 octobre 2022)
↑ ^{a b et c} Sylvain Rolland, « Transferts de données aux Etats-Unis : l'UE fait un pas de plus vers un accord très incertain » , La Tribune, 14 décembre 2022 (consulté le 14 décembre 2022)
↑ Stéphanie Bascou, « Transfert de données transatlantique : Les États-Unis n’apporteront pas de garanties supplémentaires aux Européens » , 01 Net, 5 juillet 2023 (consulté le 7 juillet 2023)
↑ Jacques Cheminat, « Le Data Privacy Framework entériné et déjà contesté » , Le Monde Informatique, 10 juillet 2023 (consulté le 11 juillet 2023)
↑ Charlotte Trueman, « Data Privacy Framework, un accord juridiquement et politiquement fragile » , Le Monde Informatique, 13 juillet 2023 (consulté le 23 août 2023)
↑ (en) « EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain » , EDBP, 28 février 2023 (consulté le 13 avril 2023)
↑ Luca Bertuzzi, « Les eurodéputés demandent une renégociation du cadre de transfert de données entre l’UE et les États-Unis » , Euractiv, 13 avril 2023 (consulté le 13 avril 2023)
↑ (en) Jude Karabus, « Privacy Framework draft isn't 'future-proof', say MEPs » , The Register, 12 mai 2023 (consulté le 7 juin 2023)
↑ « Telex : Le Data Privacy Framework en bonne voie, IBM ferme son cloud pour l'éducation, GPT-4 disponible pour tous » , Le Monde Informatique, 7 juillet 2023 (consulté le 7 juillet 2023)
↑ Nicolas Lellouche, « Transfert de données : ce que change l’accord entre l’Europe et les États-Unis » , Numerama, 11 juillet 2023 (consulté le 11 juillet 2023)
↑ Julia Tar, « RGPD : la Commission européenne adopte un cadre de transfert de données avec les États-Unis » , Euractiv, 11 juillet 2023 (consulté le 11 juillet 2023)
↑ Aurélien Defer, « Le député Philippe Latombe dépose un recours contre le Data Privacy Framework qui lie l'UE et les Etats-Unis » , L'Usine Digitale, 8 septembre 2023 (consulté le 9 septembre 2023)
↑ Sylvain Rolland, « Souveraineté numérique : le coup de poker du député Philippe Latombe pour torpiller les transferts de données vers les Etats-Unis » , La Tribune, 11 septembre 2023 (consulté le 11 septembre 2023)
↑ Théo Janvier, « Philippe Latombe (Assemblée Nationale) "Avec le Data Privacy Framework, un citoyen européen a moins de droits que le citoyen américain " » , Journal Du Net, 3 octobre 2023 (consulté le 3 octobre 2023)
↑ « Le député Philippe Latombe débouté par la CUEJ pour la suspension du transfert des données » , Stratégies, 13 octobre 2023 (consulté le 3 janvier 2024)

[UE_01-1] « Déclaration conjointe de la Commission européenne et des États-Unis sur le cadre transatlantique de protection des données personnelles » , Commission Européenne, 25 mars 2022 (consulté le 15 avril 2022)

[CNIL_01-2] « Déclaration du CEPD » , CNIL, 13 avril 2022 (consulté le 15 avril 2022)

[Numerama_01-3] Julien Lausson, « Les Cnil de l’UE accueillent avec prudence le plan pour transférer les données vers les USA » , Numerama, 14 avril 2022 (consulté le 15 avril 2022)

[4] Florian Dèbes, « Accord surprise sur le transfert des données personnelles entre l'Europe et les Etats-Unis » , Les Échos, 25 mars 2022 (consulté le 7 octobre 2022)

[5] Florian Dèbes, « Transfert de données : les dessous d'une négociation » , La Tribune, 29 avril 2022 (consulté le 12 octobre 2023)

[JDF1-6] {a b c et d} Valérie Chavanne, « Joe Biden signe le décret présidentiel "Enhancing Safeguards For United States Signals Intelligence Activities" : vers un rétablissement pérenne des transferts transatlantiques de données » , Journal du Net, 25 octobre 2022 (consulté le 25 octobre 2022)

[7] (en) « Executive order on Enhancing Safeguards for United States Signals Intelligence Activities », US Government, 7 octobre 2022 (consulté le 7 octobre 2022)

[8] Ingrid Vergara, « Transfert des données avec l'Europe : les États-Unis présentent les nouvelles règles de l'accord » , Le Figaro, 7 octobre 2022 (consulté le 7 octobre 2022)

[9] Fabienne Schmitt, « Transfert des données : l'Europe et les Etats-Unis parachèvent leur bouclier » , Les Échos, 7 octobre 2022 (consulté le 7 octobre 2022)

[LaTribune_01-10] {a b et c} Sylvain Rolland, « Transferts de données aux Etats-Unis : l'UE fait un pas de plus vers un accord très incertain » , La Tribune, 14 décembre 2022 (consulté le 14 décembre 2022)

[11] Stéphanie Bascou, « Transfert de données transatlantique : Les États-Unis n’apporteront pas de garanties supplémentaires aux Européens » , 01 Net, 5 juillet 2023 (consulté le 7 juillet 2023)

[12] Jacques Cheminat, « Le Data Privacy Framework entériné et déjà contesté » , Le Monde Informatique, 10 juillet 2023 (consulté le 11 juillet 2023)

[13] Charlotte Trueman, « Data Privacy Framework, un accord juridiquement et politiquement fragile » , Le Monde Informatique, 13 juillet 2023 (consulté le 23 août 2023)

[14] (en) « EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain » , EDBP, 28 février 2023 (consulté le 13 avril 2023)

[15] Luca Bertuzzi, « Les eurodéputés demandent une renégociation du cadre de transfert de données entre l’UE et les États-Unis » , Euractiv, 13 avril 2023 (consulté le 13 avril 2023)

[16] (en) Jude Karabus, « Privacy Framework draft isn't 'future-proof', say MEPs » , The Register, 12 mai 2023 (consulté le 7 juin 2023)

[17] « Telex : Le Data Privacy Framework en bonne voie, IBM ferme son cloud pour l'éducation, GPT-4 disponible pour tous » , Le Monde Informatique, 7 juillet 2023 (consulté le 7 juillet 2023)

[18] Nicolas Lellouche, « Transfert de données : ce que change l’accord entre l’Europe et les États-Unis » , Numerama, 11 juillet 2023 (consulté le 11 juillet 2023)

[19] Julia Tar, « RGPD : la Commission européenne adopte un cadre de transfert de données avec les États-Unis » , Euractiv, 11 juillet 2023 (consulté le 11 juillet 2023)

[20] Aurélien Defer, « Le député Philippe Latombe dépose un recours contre le Data Privacy Framework qui lie l'UE et les Etats-Unis » , L'Usine Digitale, 8 septembre 2023 (consulté le 9 septembre 2023)

[21] Sylvain Rolland, « Souveraineté numérique : le coup de poker du député Philippe Latombe pour torpiller les transferts de données vers les Etats-Unis » , La Tribune, 11 septembre 2023 (consulté le 11 septembre 2023)

[22] Théo Janvier, « Philippe Latombe (Assemblée Nationale) "Avec le Data Privacy Framework, un citoyen européen a moins de droits que le citoyen américain " » , Journal Du Net, 3 octobre 2023 (consulté le 3 octobre 2023)

[23] « Le député Philippe Latombe débouté par la CUEJ pour la suspension du transfert des données » , Stratégies, 13 octobre 2023 (consulté le 3 janvier 2024)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]