2. Opinions

  3. Tribunes

Les données personnelles européennes en vol lib (é) ré vers les Etats-Unis  ?

OPINION. Depuis le 10 juillet, c'est la question que tout le monde se pose : peut-on de nouveau envoyer librement des données aux Etats-Unis depuis que la Commission européenne a validé la décision d'adéquation qui reconnait que les Etats-Unis ont un niveau similaire de protection des données personnelles comparé au RGPD ? Par Francis Hayen, délégué à la Protection des Données, Belfius Banque et Assurance, et Charles Cuvelliez, Université de Bruxelles, Ecole Polytechnique de Bruxelles.
Francis Hayen et Charles Cuvelliez
(Crédits : Sebastian Gollnow/dpa)

Voici donc le EU-US Data Privacy Framework (DPF) qui a vu le jour avec effet immédiat début juillet. Les entreprises des Etats-Unis qui en feront partie retrouvent la liberté d'antan avec les données personnelles de leurs clients en Europe. Les compagnies qui bénéficiaient du cadre antérieur, dit Privacy Shield, qui avait été annulé par la Cour européenne de Justice ont même une période de transition de 3 mois pour faire partie automatiquement du DPF par une simple adaptation de leurs conditions générales relatives à la protection de la vie privée, sans devoir être de nouveau certifiées.

Les autres, qui voudraient se joindre à la fête, peuvent depuis le 17 juillet entamer leur auto-certification et espérer figurer sur la liste des entreprises qui sont protégées par le DPF lorsqu'elles accueillent sur sol américain des données personnelles européennes.

Un certain sens de l'urgence

On notera dans tout cela un certain sens de l'urgence. La décision d'adéquation était attendue : en octobre 2022, un ordre exécutif du président Biden mettait de l'ordre dans la curiosité qui aurait pu être maladive des agences de renseignement américaines. Le problème était surtout que cette curiosité n'était cadrée par aucune procédure juridique en cas d'abus. En cas de réel abus, il n'y avait pour un citoyen européen aucun mécanisme de recours.

Pour être membre du DPF, les entreprises doivent s'engager sur certains principes de base de protection des données personnelles qu'on a déjà en Europe. Les données personnelles traitées doivent être limitées au but recherché dès le départ. On doit minimiser le volume et le type de données personnelles collectées et conservées. Il faut limiter le partage des données avec des tiers. C'est le département américain du Commerce qui certifiera les entreprises américaines souhaitant se conformer au DPF. C'est toujours lui qui contrôlera si les entreprises continuent de répondre aux exigences de certification.

Supervision des activités de surveillance des agences de renseignement

Ce sont surtout les recours prévus qui sont intéressants et les limitations que Joe Biden impose aux agences de renseignement car c'était tout ce que la Cour européenne de Justice avait attaqué. Les agences ne peuvent accéder aux données que dans un but bien précis, justifié et nécessaire pour la sécurité nationale. Il y a une supervision, dorénavant, des activités de surveillance des agences de renseignement.

Il y a un mécanisme de recours et même un degré d'appel via une cour spéciale (Data Protection Review Court) pour investiguer des plaintes des citoyens européens qui penseraient que leurs données ont été examinées par des agences américaines qui auraient outrepassé les limitations de Biden.

Ces citoyens doivent soumettre leur plainte à leur CNIL locale qui la transmet aux Etats-Unis via l'EDPB qui regroupe les CNIL européennes. Les plaintes sont examinées par le Civil Liberties Protection Officer of the US intelligence community (qui est en charge d'examiner la conformité des agences de renseignements avec les droits fondamentaux des citoyens).

Ensuite, il y a un appel possible devant la Data Protection Review Court (DPRC). Pendant tout ce temps, hélas, le citoyen ne sait pas ce qui se passe avec la procédure. Et en cas d'appel à la DPRC, il n'a pas le choix de son avocat. C'est la DPRC qui en désigne un. Le citoyen sera simplement informé s'il avait raison ou non, si des mesures ont été prises (comme la destruction de ses données) et ce n'est qu'en cas de non-confidentialité que le jugement lui sera transmis. Cela lui fera une belle jambe.

Ce n'est pas extraordinaire : le citoyen s'en tire avec la satisfaction qu'il a eu raison mais sans trop savoir pourquoi... Max Schrems qui est venu à bout des deux autres décisions d'adéquation ne va évidemment ne pas en rester là.

On le voit : les entreprises ont intérêt à rester prudentes et à prolonger ce qu'elles faisaient pour tenir compte de l'arrêt de la Cour européenne de Justice qui annualait l'accord Privacy Shield : plus il y a de moyens mis en place pour protéger les données qui vont aux US, mieux c'est pour quand le DPF volera en éclat....

____

Pour en savoir plus :

La liste des entreprises qui font partie du nouveau DPF : www.dataprivacyframework.gov.

Executive Order on 'Enhancing Safeguards for United States Signals Intelligence Activities'.

Francis Hayen et Charles Cuvelliez

Sujets les + lus

|

Sujets les + commentés

Commentaires 2
à écrit le 09/08/2023 à 20:36
Signaler
Bonjour, Bonne question les données ministres notaires avocats procureurs pdg peuvent elles être copiées hors France via des clouds ou les antennes satelittes starlink Microsoft alibaba eurosat etc ........
à écrit le 08/08/2023 à 8:13
Signaler
"Il y a une supervision, dorénavant, des activités de surveillance des agences de renseignement." Il serait temps cela devrait éviter que nombreux innocents finissent persécutés ou tués mais je doute hein, difficile de combattre la mentalité de gens ...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.