Article réservé aux abonnés Archimag.com

Data Privacy Framework (DPF) : les entreprises doivent-elles changer leurs pratiques contractuelles ?

Le

  • data-privacy-framework-changement-pratiques.jpg

    data-privacy-framework-changements-pratiques-entreprises
    Via son association Noyb, l’avocat autrichien Max Schrems a menacé de renvoyer le DPF devant la Cour de justice de l’Union européenne. Selon lui, le DPF est "en grande partie une copie de Privacy Shield". (FreepikPremium/Pixelshunter)
    • Le Data Privacy Framework (DPF) pose un nouveau cadre pour l’échange de données entre les États-Unis et l’Europe. Quels sont les apports de ce nouveau règlement qui succède au Privacy Shield ? Et qu’en est-il des pratiques contractuelles mises en place par les entreprises suite à l’arrêt Schrems II de la Cour de justice de l’Union européenne ? Doivent-elles changer à nouveau ?

    enlightened CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N°371
    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    Le Data Privacy Framework (DPF) a été adopté par la Commission européenne le 10 juillet 2023. Il vise à faciliter les transferts de données personnelles vers les États-Unis tout en renforçant la protection des données, en proposant de nouvelles solutions aux problèmes soulevés par la CJUE à l’encontre de ses prédécesseurs : le Safe Harbor et le Privacy Shield.

    Quels sont les apports de ce nouveau cadre ?

    Les principes de nécessité et de proportionnalité

    Prenant en compte les points soulevés dans l’arrêt Schrems II, le DPF prévoit de nouveaux principes qui visent à encadrer l’accès aux données par les autorités américaines grâce au décret présidentiel américain n° 14086.

    L’accès et la collecte des données à caractère personnel des ressortissants européens doivent en effet respecter les principes de "nécessité" et de "proportionnalité", qui doivent, en principe, s’apparenter aux principes homonymes de droit de l’Union européenne (UE).

    La consécration de ces principes vise notamment à contrebalancer l’impact de la loi de surveillance américaine FISA 702 sur la protection des données issues de l’Union européenne.

    Un nouveau mécanisme de recours

    De plus, l’une des nouveautés du cadre de transfert de données vers les États-Unis est le mécanisme de recours à deux niveaux prévus par le texte. Cette nouvelle voie de recours a pour conséquence la création d’une autorité indépendante et contraignante : la Cour de contrôle de la protection des données.

    Lire aussi : Les entreprises et administrations françaises au cœur de la Directive NIS 2

    Cette cour s’occupe des plaintes déposées par les personnes physiques dont les données ont été transférées de l’Union européenne vers des entreprises américaines et qui pensent avoir été sujettes à une utilisation de leurs données personnelles par les agences de renseignement américaines.

    Un mécanisme d’autocertification

    En outre, le mécanisme d’autocertification en ligne du Privacy Shield a été conservé pour le DPF, avec quelques informations supplémentaires à fournir, ce qui facilite la certification pour les entreprises certifiées à l’époque avec le Privacy Shield.

    Le DPF risque-t-il de connaître le même sort que ses prédécesseurs ?

    De nombreux observateurs s’interrogent sur la robustesse du nouveau mécanisme et sur l’efficacité des nouvelles garanties dans leur objectif de pallier aux critiques émises par la CJUE dans les arrêts Schrems I et II.

    Les points forts du nouveau cadre

    Par l’intermédiaire du décret n° 14086, certaines lacunes du droit américain identifiées par la CJUE semblent être comblées. En effet, ce décret met en œuvre les nouveaux principes précités, auparavant inexistants, et un mécanisme de recours impartial, en théorie plus efficace et protecteur que le mécanisme "Ombudsperson" du Privacy Shield.

    En outre, la Commission européenne s’est engagée à procéder à des examens périodiques du DPF en collaboration avec les autorités de protection des données de l’UE et les autorités américaines, afin de confirmer que le gouvernement américain respecte en pratique les engagements qu’il a pris dans le cadre du décret n° 14086.

    Le premier examen aura lieu dans un délai d’un an à compter de l’entrée en vigueur de la décision d’adéquation. Il s’agira de vérifier que tous les éléments pertinents ont été pleinement mis en œuvre par le gouvernement américain et qu’ils fonctionnent dans la pratique.

    Cependant, malgré les améliorations théoriques apportées par le DPF, il est indéniable que cette décision d’adéquation est susceptible de subir le même sort que ses prédécesseurs si son efficacité pratique n’est pas avérée.

    Lire aussi : Transfert des données entre l'Europe et les États-Unis : une signature qui ne lève pas les doutes

    Les points faibles

    Le DPF faisait déjà l’objet de critiques de la part du Conseil européen de la protection des données (CEPD) avant son adoption définitive. En effet, il est estimé que les mesures adoptées dans le DPF ne répondront pas suffisamment aux préoccupations soulevées par la CJUE, et en particulier lorsqu’il est question de la problématique de la collecte massive de données par les autorités américaines.

    Concernant les principes de "proportionnalité" et de "nécessité" prévus par le décret présidentiel, fondés sur le système juridique américain et non européen, il est anticipé que leur application sera très différente de celle du droit de l’UE. La protection assurée par ces derniers sera donc potentiellement insuffisante.

    De plus, ces principes n’amendent pas la loi de surveillance américaine FISA 702, élément central des problématiques soulevées à l’encontre du Privacy Shield, et qui n’a pas évolué depuis.

    En outre, les décisions de la nouvelle Cour de contrôle de la protection des données seront classifiées et ne seront ni publiques ni accessibles au plaignant. L’opacité de ce nouveau recours est sujette à des critiques de la part de l’avocat autrichien Max Schrems, pour qui il semble impensable que la Cour de justice accepte cela comme un "recours juridictionnel" au titre de l’article 47 de la Charte des droits fondamentaux de l’Union européenne.

    Par conséquent, les apports du DPF ne garantissent pas son efficacité, et le risque que le DPF fasse également l’objet d’une invalidation ne peut pas être écarté.

    Lire aussi : Durées de conservation et numérique : l’affaire de tous

    Les pratiques contractuelles mises en place par les entreprises doivent-elles évoluer ?

    Après l’invalidation du Privacy Shield, la CJUE a consacré de nouvelles obligations à l’encontre des responsables de traitement et des sous-traitants participant à un transfert de données vers un pays tiers. Tout d’abord, avant tout transfert de données, ces derniers doivent procéder à une évaluation des risques liés au transfert.

    Les entreprises doivent aussi mettre en place des clauses contractuelles types ainsi que des mesures contractuelles, techniques et organisationnelles supplémentaires. En principe, ces mesures étaient en place en attendant l’adoption d’un nouveau cadre permettant le transfert sécurisé de données personnelles aux États-Unis, mais l’adoption du DPF n’est pas synonyme de leur obsolescence.

    Se prévaloir d’une mise en conformité facilitée par le DPF…

    Avec le DPF, les mesures contractuelles, techniques et organisationnelles supplémentaires mises en œuvre après l’arrêt Schrems II ne sont plus nécessaires pour les transferts de données personnelles vers les États-Unis. Il est donc possible de procéder à des transferts de données personnelles vers une entreprise américaine certifiée au DPF sans avoir besoin d’utiliser de mécanismes supplémentaires.

    … Tout en conservant ses anciens réflexes

    Cependant, malgré l’adoption du nouvel accord, les mécanismes tels que les clauses contractuelles types sont en effet toujours nécessaires lors de transferts vers les entreprises américaines non certifiées, ainsi que pour les transferts de données vers des pays ne faisant pas l’objet d’une décision d’adéquation.

    Par ailleurs, au vu de l’incertitude quant au futur du DPF, la prudence est de mise. Ainsi, conserver les mesures déjà mises en place par les entreprises permettra d’éviter de revivre le chaos provoqué par la décision Schrems II. Afin d’assurer un encadrement de tous les scénarios possibles, les entreprises pourront même prévoir contractuellement un mécanisme de bascule vers ces mesures ou de renégociation des accords sur les transferts si le DPF était invalidé de nouveau.

    Lire aussi : Top 3 des outils pour protéger ses données et celles des autres

    Les entreprises ont toujours la nécessité de se reposer sur les Transfer Impact Assessment (TIA ou transferts internationaux de données) si elles ne souhaitent pas s’appuyer uniquement sur le DPF. Grâce au DPF, il leur sera d’ailleurs plus facile de justifier que le niveau de protection est adéquat au terme de l’analyse d’impact.

    Eu égard à tous ces éléments, même si le DPF permet aux entreprises de faciliter la mise en conformité de leurs transferts de données personnelles vers les États-Unis, il convient de rester prudent. Le choix sécuritaire est d’anticiper contractuellement une potentielle nouvelle invalidation par la CJUE, afin de limiter ses impacts sur les entreprises qui s’appuient sur le DPF.

    Xavier Pican
    [Associé en IP/IT du cabinet Osborne Clarke]

    Laurène Zaggia
    [Counsel en IP/IT du cabinet Osborne Clarke]

    Sur le même sujet: 
    IA, data mining, cyberenquête : l’administration s’équipe face à la fraude
    Désinformation et cyberattaques : l'Etat se penche sur les datas
    Cybersécurité : MDR, l'expertise humaine avant tout
    0 Commentaire
    protection des données
    Union européenne
    données personnelles
    Europe
    Etats-Unis
    data
    données
    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.
    Lire la suite...