Data Privacy Framework

Cadre de protection des données UE - États-Unis

Présentation
Titre DÉCISION D’EXÉCUTION (UE) 2023/1795 DE LA COMMISSION du 10 juillet 2023 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - États-Unis
Sigle DPF
Référence Décision d'exécution (UE) no 2023/1795
Organisation internationale Drapeau de l’Union européenne Union européenne
Territoire d'application Espace économique européen
Type Décision d'exécution de la Commission européenne
Branche Droit de l'Internet
Adoption et entrée en vigueur
Législature 9e législature
Gouvernement Commission von der Leyen
Adoption
Publication
Entrée en vigueur .

Lire en ligne

Décision d'adéquation

modifier

Le Data Privacy Framework (DPF) ou le Trans-Atlantic Data Privacy Framework (littéralement le Cadre de protection des données UE - États-Unis) est le nouveau système d'échange de données entre les États-Unis et l'Europe qui succède au Privacy Shield. Il a été construit entre l'Union européenne et les États-Unis à partir de 2022.

Contexte

Alors que le Privacy Shield et le Safe Harbor ont été tous deux annulés par la Cour de justice de l'Union européenne dans les arrêts Schrems, les États-Unis et l'Europe se sont entendus pour créer un nouveau cadre qui aurait l'agrément de tous. Les dispositifs précédents avaient péché par leur manque de protection des données des citoyens européens lorsque les données étaient transférées aux États-Unis.

Le 25 mars 2022 la Commission Européenne et les États-Unis ont manifesté le souhait de travailler ensemble à l'élaboration d'un cadre commun pour l'échange des données[1].

Le 6 avril 2022, le Comité européen de la protection des données (CEPD) accueille favorablement la volonté des États-Unis de mieux protéger les citoyens européens, notamment vis-à-vis de la possibilité donnée aux services de sécurité américains de collecter les données des citoyens européens[2],[3].

Cadre juridique du nouvel accord

Un accord de principe entre les États-Unis et l'Europe a été trouvé en mars 2022. Accord critiqué par Philippe Latombe, le rapporteur d'une récente mission parlementaire sur la souveraineté numérique, comme étant la contrepartie d'un accord de fourniture de gaz américain à la suite des restrictions nées des sanctions occidentales envers la Russie[4],[5].

Le 07 octobre 2022, Joe Biden a signé un décret présidentiel créant les conditions d'un cadre juridique pour un Privacy Shield 2.0. Le décret exécutif, dénommé Enhancing Safeguards For United States Signals Intelligence Activities (littéralement Renforcement des garanties pour les activités de renseignement électromagnétique des États-Unis) permet un encadrement des services de sécurité américains dans leur surveillance des données provenant des européens. Chaque étape depuis la collecte jusqu'au traitement par les services de sécurité devra être justifiée et son objectif légitime détaillé[6],[7].

La collecte de données

La collecte des données par les services de renseignement américains est encadrée par le texte de l'accord. L'objectif de la collecte, obligatoirement relatif à des enjeux de sécurité nationale, est listé dans l'accord.

La collecte ne peut être motivée par un objectif prohibé ; une liste d'objectifs prohibés est présente dans l'accord.

La collecte doit prendre en compte les droits civils[6].

Le traitement des données

Des limites en termes de dissémination des informations collectées sont posées.

Des limites en termes de conservation des données dans le temps sont posées[6].

Les procédures de recours

Cet accord crée une nouvelle cour de justice, la Data Protection Review Court (DPRC), située aux États-Unis, capable de demander la suppression ou la modification des données. L'accès à cette cour sera examiné par un agent de protection des libertés civiles, agent issu des services de renseignement américain. L'accès à cette cour américaine se fera par la saisine en Europe, de l'autorité nationale de protection des données (la CNIL pour la France)[8],[9],[6].

Les insuffisances juridiques

Du côté européen, nombreux sont les juristes à pointer du doigt le manque d'impartialité et d'indépendance de la DPRC, une cour américaine qui devra juger selon les lois américaines. Or la loi américaine se fonde sur la primauté de la sécurité nationale sur les droits du citoyen, le contraire du RGPD européen.

Du côté des entreprises, l'absence de cadre juridique fait que le lobby de la tech américaine - Computer & Communications Industry Association (en) - se félicite de ce nouveau texte en préparation[10].

Le 30 juin 2023, les agences américaines de renseignement ont adopté de nouvelles procédures de sécurité concernant le traitement des données des européens une fois arrivées sur le sol américain. Mais la section 702 de la FISA a été maintenue qui permet un espionnage en règle de toutes les informations des européens sans aucune garantie ni garde-fou. Or c'est ce même texte qui avait fait capoter le Privacy Shield et le Safe Harbor avec les arrêts Schrems respectivement en 2015 et en 2020.

D'un coté les instances américaines estiment avoir fait un grand pas vers plus de respect des données des européens. D'un autre coté, tant la réunion des CNIL européennes que le Parlement ont souligné les insuffisances des textes américains en termes de garantie et de protection des européens[11].

Max Schrems, via son association NOYB souligne que le Data Privacy Framework est un copié-collé du Privacy Shield. À ce titre il sera contesté devant la Cour de justice de l'Union européenne. Pose notamment problème, le tribunal de recours qui n'est pas une juridiction judiciaire, mais dépend de l'exécutif américain, sans possibilité d'appel[12].

Enfin la pérennité de l'accord dépend aussi du pouvoir politique. Si l'accord contient des faiblesses internes notamment au niveau des procédures de recours, il comporte également des risques politiques. Les procédures de recours portent sur la création d'une cour d'appel américaine, instance exécutive américaine qui ne doit son existence qu'à un décret présidentiel. Ce qu'un décret présidentiel a fait peut être défait lors de l'arrivée d'une autre majorité présidentielle au pouvoir[13].

Processus d'adoption devant les instances européennes

Une fois le texte rédigé coté américain, il lui faut passer les différentes étapes européennes à savoir :

  1. la Commission européenne,
  2. le Comité européen de la protection des données,
  3. le Parlement européen,
  4. la commission formée par les représentants des états membres[10].

Au niveau de la Commission Européenne

La Commission Européenne a entamé le 13 décembre 2022 une procédure en vue d’adopter une décision d'adéquation de l'Enhancing Safeguards For United States Signals Intelligence Activities. Comme l'a souligné le Commissaire européen à la Justice, Didier Reynders, « De solides mesures de protection sont désormais en place aux États-Unis pour permettre le transfert sûr de données personnelles de part et d'autre de l'Atlantique. Nous sommes maintenant confiants pour pouvoir passer à l'étape suivante de la procédure d'adoption ». Ce sera ensuite au Comité européen de la protection des données de se prononcer. Mais pour beaucoup de juristes européens, le décret Biden n'offre pas le niveau de transparence suffisant ni l'impartialité attendue puisque la juridiction d'appel sera américaine et la loi américaine stipule que la sécurité nationale est supérieure au droit des citoyens. L'inverse de ce qu'établit le droit européen[10].

Au niveau du Comité européen de protection des données

Le 28 février 2023, le CEPD a émis un avis non contraignant soulignant ses préoccupations quant au texte analysé. La présidente du Comité Andrea Jelinek (de) a exprimé ses inquiétudes au niveau des aspects commerciaux sur les dérogations au droit d'accès, sur le profilage, sur le manque de clarté pour les sous-traitants par exemple. Le CEPD demande la clarification des exemptions à l'obligation d'adhérer aux principes du Data Privacy Framework (DPF). Le CEPD est également préoccupé par l'absence d'exigence d'autorisation préalable pour la collecte en masse de données et par l'absence d'appel de la décision de la DPRC[14].

Au niveau du Parlement européen

Les députés européens ont voté une résolution du Parlement européen (2023/2501 (RSP) du 11 mai 2023)[15], engageant la Commission à ne pas adopter la décision d'adéquation tant que les recommandations du CEPD et de la résolution n’auront pas été pleinement mises en œuvre. Enfin le législateur demande à la Commission que les intérêts politiques ou commerciaux ne soient pas pris en compte dans la décision d'adéquation[16].

La résolution du Parlement européen est défavorable à l'application de cet accord dans ces termes actuels. La résolution a été acceptée avec un vote largement favorable (306 pour, 27 contre). Le parlement juge insuffisants les efforts américains pour rendre le cadre des échanges transatlantiques de données suffisamment protecteur pour les européens. Les parlementaires européens ont relevé une dizaine de points qui pêchent par une insuffisance d'engagement des États-Unis.

Le premier de ces points souligne la différence de perception des deux côtés de l'Atlantique des principes de proportionnalité et de nécessité. Ces deux notions fondent l'essence des garanties données par les États-Unis aux Européens dans l'ordre exécutif no 14086. La liste des finalités légitimes est définie dans cet ordre exécutif. Mais elle peut être redéfinie à souhait par le président américain, sans information du public ou des européens. Par ailleurs l'ordre exécutif n'interdit pas aux américains de pouvoir procéder à la collecte massive de données des européens ni à obtenir une autorisation préalable pour une telle collecte. Les députés européens alertent sur l'absence de règles claires en matière de conservation des données. Le parlement note également que le mécanisme de recours à deux niveaux ne permet pas au citoyen européen de faire jouer son droit d'accès et de modifier les données le concernant. Par ailleurs le mécanisme de recours n'est pas accompagné d'un dispositif d'appel de la décision[17].

Au niveau de la commission des états membres

Le 4 juillet 2023, le Data Privacy Framework a été validé par 24 pays, trois membres de la commission s'étant abstenus[18]. Le 10 juillet suivant, la décision d'adéquation a été prise par la Commission européenne[19]. Le Data Privacy Framework fournit à partir de juillet 2023 le nouveau cadre réglementaire et juridique entre les États-Unis et l'Europe. Tant du côté américain que du côté européen, on se félicite de ce nouveau cadre légal après des années d'incertitude. La Commission européenne prévoit d'examiner à intervalles réguliers l'adéquation du cadre réglementaire afin de déterminer s'il définit toujours un cadre adéquat de protection des données équivalent au RGPD[20].

Contestation de l'accord

Le député Modem Philippe Latombe a déposé à titre personnel le 7 septembre 2023 un recours en référé devant la Cour de justice de l'Union européenne contre l'accord transatlantique. Il lui reproche de ne toujours pas respecter les droits des citoyens européens quant à la protection des données personnelles[21]. Selon Philippe Latombe, il y a toujours une incompatibilité entre le RGPD et la pratique américaine qui privilégie le droit des états par rapport au droit des citoyens. Ainsi des textes américains comme le CLOUD Act ou la loi FISA sont particulièrement pointés du doigt car ils permettent la surveillance de masse au nom de la sécurité nationale[22],[23].

Le 12 octobre 2023 le tribunal a rejeté sa demande en référé pour argumentation insuffisante[24], le caractère d'urgence n’ayant pas été établi car les arguments relatifs à l’absence d’un niveau adéquat de protection des données à caractère personnel aux États-Unis ne permettent pas d’établir l’existence d’un préjudice grave et irréparable, a jugé le tribunal qui ne s’est cependant pas à ce moment prononcé sur le fond[25],[26].

Articles connexes

Documentation

Notes et références

Références

  1. « Déclaration conjointe de la Commission européenne et des États-Unis sur le cadre transatlantique de protection des données personnelles » Accès libre, Commission Européenne, (consulté le )
  2. « Déclaration du CEPD » Accès libre, CNIL, (consulté le )
  3. Julien Lausson, « Les Cnil de l’UE accueillent avec prudence le plan pour transférer les données vers les USA » Accès libre, Numerama, (consulté le )
  4. Florian Dèbes, « Accord surprise sur le transfert des données personnelles entre l'Europe et les Etats-Unis » Accès libre, Les Échos, (consulté le )
  5. Florian Dèbes, « Transfert de données : les dessous d'une négociation » Accès payant, La Tribune, (consulté le )
  6. a b c et d Valérie Chavanne, « Joe Biden signe le décret présidentiel "Enhancing Safeguards For United States Signals Intelligence Activities" : vers un rétablissement pérenne des transferts transatlantiques de données » Accès libre, Journal du Net, (consulté le )
  7. (en) « Executive order on Enhancing Safeguards for United States Signals Intelligence Activities », US Government, (consulté le )
  8. Ingrid Vergara, « Transfert des données avec l'Europe : les États-Unis présentent les nouvelles règles de l'accord » Accès libre, Le Figaro, (consulté le )
  9. Fabienne Schmitt, « Transfert des données : l'Europe et les Etats-Unis parachèvent leur bouclier » Accès libre, Les Échos, (consulté le )
  10. a b et c Sylvain Rolland, « Transferts de données aux Etats-Unis : l'UE fait un pas de plus vers un accord très incertain » Accès libre, La Tribune, (consulté le )
  11. Stéphanie Bascou, « Transfert de données transatlantique : Les États-Unis n’apporteront pas de garanties supplémentaires aux Européens » Accès libre, 01 Net, (consulté le )
  12. Jacques Cheminat, « Le Data Privacy Framework entériné et déjà contesté » Accès libre, Le Monde Informatique, (consulté le )
  13. Charlotte Trueman, « Data Privacy Framework, un accord juridiquement et politiquement fragile » Accès libre, Le Monde Informatique, (consulté le )
  14. (en) « EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain » Accès libre, EDBP, (consulté le )
  15. Résolution du Parlement européen du 11 mai 2023 sur l’adéquation de la protection assurée par le cadre de protection des données UE–États-Unis (2023/2501(RSP)), (lire en ligne)
  16. Luca Bertuzzi, « Les eurodéputés demandent une renégociation du cadre de transfert de données entre l’UE et les États-Unis » Accès libre, Euractiv, (consulté le )
  17. (en) Jude Karabus, « Privacy Framework draft isn't 'future-proof', say MEPs » Accès libre, The Register, (consulté le )
  18. « Telex : Le Data Privacy Framework en bonne voie, IBM ferme son cloud pour l'éducation, GPT-4 disponible pour tous » Accès libre, Le Monde Informatique, (consulté le )
  19. Nicolas Lellouche, « Transfert de données : ce que change l’accord entre l’Europe et les États-Unis » Accès libre, Numerama, (consulté le )
  20. Julia Tar, « RGPD : la Commission européenne adopte un cadre de transfert de données avec les États-Unis » Accès libre, Euractiv, (consulté le )
  21. Aurélien Defer, « Le député Philippe Latombe dépose un recours contre le Data Privacy Framework qui lie l'UE et les Etats-Unis » Accès libre, L'Usine Digitale, (consulté le )
  22. Sylvain Rolland, « Souveraineté numérique : le coup de poker du député Philippe Latombe pour torpiller les transferts de données vers les Etats-Unis » Accès libre, La Tribune, (consulté le )
  23. Théo Janvier, « Philippe Latombe (Assemblée Nationale) "Avec le Data Privacy Framework, un citoyen européen a moins de droits que le citoyen américain " » Accès libre, Journal Du Net, (consulté le )
  24. « Le député Philippe Latombe débouté par la CUEJ pour la suspension du transfert des données » Accès libre, Stratégies, (consulté le )
  25. Aurélien Defer, « Il n'est pas urgent d'annuler le Data Privacy Framework qui lie l'UE et les Etats-Unis, selon la CJUE », Usine digitale,‎ (lire en ligne, consulté le )
  26. « CURIA - Documents - ORDONNANCE DU PRÉSIDENT DU TRIBUNAL 12 octobre 2023 (*) « Référé – Protection des données à caractère personnel – Cadre de protection des données UE-États-Unis – Décision constatant l’adéquation du niveau de protection – Demande de sursis à exécution – Défaut d’urgence » », sur curia.europa.eu (consulté le )


 

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi