Le « EU-U.S. Data Privacy Framework » est entré en vigueur le 11 juillet 2023. Il s’agit d’un nouvel accord de protection des données entre l’UE et les États-Unis visant à faciliter le transfert de données des entreprises européennes vers les entreprises américaines. Il remplace les anciens accords « Safe Harbor » et « Privacy Shield », qui ont été invalidés par la CJCE (Cour de justice des Communautés européennes). Ces accords régissent les conditions dans lesquelles les données personnelles des citoyens de l’UE peuvent être transférées vers les États-Unis.
Ce nouvel accord constitue la base d’une décision d’adéquation de la Commission européenne, ce qui signifie que la Commission constate que les États-Unis offrent un niveau de protection des données adéquat. Les entreprises peuvent donc transférer des données vers les États-Unis et utiliser des services cloud américains sans devoir prendre d’autres mesures de protection. Toutefois, cela ne sera le cas que si l’entreprise américaine concernée possède une certification valide conformément au « cadre UE-U.S. pour la protection des données ».
Les points clés du nouvel accord incluent des restrictions d’accès aux données personnelles par les services de renseignement américains, ainsi que des recours pour les citoyens européens contre la collecte et l’utilisation de leurs données par ces services. Une nouvelle cour de justice, la « Data Protection Review Court (DPRC) », sera créée pour examiner les plaintes et ordonner des mesures correctives contraignantes. Il y aura également des examens réguliers pour s’assurer que les dispositions de l’accord sont respectées.
Il n’est pas certain que l’accord améliore réellement la protection des données.
Bien que l’accord ait été salué comme une étape importante dans la protection des données, il a également suscité des critiques. Le militant pour la protection des données Max Schrems a déjà annoncé qu’il porterait plainte contre le nouvel accord. Il n’est pas certain que l’accord améliore réellement la protection des données et qu’il soit maintenu par la CJUE.
« Safe Harbor » et « Privacy Shield » ont déjà échoué
« Safe Harbor » et « Privacy Shield » étaient des accords de protection des données entre l’Union européenne (UE) et les États-Unis (USA) qui devaient régir le transfert des données personnelles entre les deux régions.
« Safe Harbor » était le premier de ces accords et a été introduit en 2000. Il établissait un cadre permettant aux entreprises américaines de recevoir et de traiter des données à caractère personnel provenant de l’UE. Toutefois, en 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé le « Safe Harbor ». L’arrêt a été rendu à la suite d’une plainte déposée par Max Schrems, un militant autrichien de la protection des données. Il a fait valoir que l’accord ne protégeait pas suffisamment la protection des données des citoyens de l’UE, notamment à la lumière des révélations d’Edward Snowden sur l’étendue de la surveillance exercée par les services de renseignement américains.
En réponse à l’annulation de « Safe Harbor », l’accord « Privacy Shield » a été introduit en 2016. Il prévoyait des protections et des contrôles supplémentaires pour répondre aux préoccupations en matière de protection des données. Mais cet accord a également été invalidé par la CJUE en 2020, à nouveau suite à une plainte de Schrems. La Cour a estimé que le « Privacy Shield » ne protégeait pas suffisamment les données des citoyens européens contre l’accès du gouvernement américain.
Les deux accords ont finalement échoué parce que, selon la CJCE, ils ne garantissaient pas suffisamment la protection des données des citoyens européens, notamment en ce qui concerne l’accès à leurs données par les autorités et les services de renseignement américains. Ces jugements ont eu pour conséquence que le transfert de données entre l’UE et les Etats-Unis reste un sujet complexe et controversé.