Nos avocats prennent la parole
Décryptage : le Data Privacy Framework
Le Data Privacy Framework (DPF) est le dispositif mis en place par la Commission européenne et la Federal Trade Commission pour faciliter le transfert de données depuis l’Espace économique européen vers les Etats-Unis. Il succède au Privacy Shield invalidé par la Cour européenne de justice en juillet 2020 à la suite de l’action intentée par Max Schrems, tenant notamment aux moyens d’interception des données par les agences de renseignement américaines.
Le DPF est basé sur une décision dite « d’adéquation » prise par la Commission européenne en juillet 2023, reconnaissant un niveau de protection adéquat des données personnelles traitées par les entreprises américaines qui ont adhéré au nouveau dispositif. Cette décision est elle-même fondée sur un décret exécutif pris par le Président Joe Biden en octobre 2022 qui apportait des nouvelles garanties au regard des données personnelles traitées aux Etats-Unis.
Même s’il faut saluer ces nouvelles garanties, notamment la clarification des règles d’engagement des agences de renseignement américaines pour l’interception de données dans le cadre de leur activité, elles apparaissent encore insuffisantes au regard des règles européennes de protection des données personnelles et de la vie privée. C’est notamment le cas concernant les règles applicables à la décision par les agences de renseignement de recourir à une interception massive des données traitées sur le sol américain.
A ce jour, le DPF est déjà contesté et a fait l’objet d’un recours en annulation intenté par le député français Philippe Latombe.
Dès lors, la question n’est pas tant de savoir si le DPF sera invalidé, mais quand il le sera.
J’ai eu l’occasion de m’exprimer à ce sujet : Opinion | Transfert de données aux Etats-Unis, avons-nous besoin d'un accord-cadre ? | Les Echos