Soulagement face à l'avènement du Data Privacy Framework

En 2020, la Cour européenne estimait que le Privacy Shield ne protégeait pas de possibles ingérences dans les droits fondamentaux des personnes dont les données sont transférées. Le DPF peut être une solution.

Cela fait six longues années que la communauté des professionnels de la Privacy (experts en protection des données personnelles) attend d’être délivré d’une argumentation qui relève des plus grands de ce monde.

Le 7 octobre dernier, lorsque le président américain Joe Biden a annoncé la signature d’un décret (Executive Order), Data Privacy Framework (DPF) portant sur l’amélioration des garanties pour les activités de renseignement des États-Unis, nombreux sont ceux à avoir applaudi, et ce en dépit des premières critiques et du spectre d’une nouvelle saga jurisprudentielle.

De quoi s’agit-il ?

En 2016, la Cour de Justice européenne - à l’initiative d’un activiste autrichien dénommé Max Schrems - a procédé à l’invalidation du Safe Harbor, un mécanisme agréé permettant le transfert des données de l’Union Européenne (UE) vers les États-Unis. En 2018, les autorités outre-Atlantique le remplacèrent par le Privacy Shield, mécanisme invalidé à son tour à l’initiative de la même personne, et par la même cour, en 2020.

Cette jurisprudence, communément appelée Schrems II, mit des milliers d’entreprises internationales à mal. Tout d’abord en interdisant tout transfert de données sur la base du Privacy Shield, puis en imposant aux entreprises de baser leurs transferts sur un mécanisme alternatif, accompagné d’une évaluation systématique des risques de transferts de données hors Union européenne. L’approche visait à s’assurer que les juridictions destinataires des données puissent offrir des mesures de protection équivalentes à celles prévues par l’Union européenne.

Des actions mythiques s’en sont suivies car certaines de ces évaluations ne répondaient pas aux exigences du Règlement Général pour la Protection des Données (RGPD) ni à celles de la protection du droit à la vie privée, un droit érigé en Droit de l’Homme et du Citoyen au sein de l’UE.

Aussi, avec l’adoption de protections supplémentaires en matière de procédure régulière pour l’utilisation des mécanismes de surveillance par les agences de renseignement américaines, et la création d’un nouveau mécanisme de recours à deux niveaux pour les personnes concernées, le décret constitue dès lors le développement le plus important pour supporter le rétablissement des flux de données entre l’UE et les États-Unis, après l’invalidation du Privacy Shield.

Alors, en quoi le DPF apporte-t-il une solution ?

Le DPF ouvre la voie à l’examen d’un nouveau cadre de protection des données en vertu duquel les organisations certifiées pourront exporter des données personnelles de l’UE vers les États-Unis grâce à une décision formelle d’adéquation de la Commission européenne, précédé d’un avis du Comité européen de protection des données.

De plus, selon M. Biden, "cela va permettre à la Commission européenne d’autoriser à nouveau les flux de données transatlantiques, ce qui facilitent 7,3 milliards de dollars de relations économiques avec l’UE". Ce constat n’est pas des moindres dans un contexte de crises géopolitiques des plus graves qu’ait connue l’alliance transatlantique depuis la Seconde Guerre mondiale. Il est compréhensible qu’un membre de l’Alliance puisse avoir du mal à renoncer à ses capacités en matière de sécurité nationale.

Non seulement d’un point de vue de développement de l’économie numérique mais aussi dans le contexte d’une gestion efficace du capital humain des entreprises multinationales, il serait risible d’en ignorer les tenants et aboutissants.

Il faut espérer que toute entreprise responsable qui se respecte ait d’ores et déjà mis à la disposition de ses clients une évaluation de l’impact du transfert des données personnelles de l’UE vers les États-Unis, et ce dans le cadre d’un système de gestion du capital humain (HCM). Au regard de nombreux éléments, dont l’adoption des nouvelles clauses contractuelles standards et d’une analyse des catégories de données, il était déjà possible d’évaluer les risques. C’est donc avec confiance que les multinationales, dont celles ayant maintenu leur certification au titre du Privacy Shield, devraient pouvoir aborder l’avenir. A priori dès le printemps prochain, l’entrée en vigueur de la nouvelle décision d’adéquation des États-Unis sera à même d’apaiser une controverse qui dure depuis trop longtemps.