Le Data Privacy Framework adopté : l'engrenage est (re)lancé

Adopté et entré en vigueur ce 10 juillet 2023, le Data Privacy Framework succède au Privacy Shield… qui avait lui-même remplacé le Safe Harbor. La troisième tentative sera-t-elle la bonne ?

Rendez-vous devant la CJUE fin 2023 ou début 2024 ? L’association NOYB (None Of Your Business) et son fondateur Max Schrems sont dans les starting-blocks après l’adoption du Data Privacy Framework.

Ce texte constitue, dans le jargon juridique européen, une « décision d’adéquation ». Et pour cause : en l’entérinant, l’UE reconnaît que les États-Unis offrent un niveau de protection des données personnelles « substantiellement équivalent » à celui qu’elle garantit en son propre sein.

À ce titre, le Data Privacy Framework « légitimera », pour les organisations qui y adhéreront, les flux transatlantiques de données. C’est précisément ce qu’ont tour à tour permis, par le passé, le Safe Harbor et le Privacy Shield… jusqu’à leur invalidation par la Cour de justice de l’Union européenne, respectivement en 2015 et en 2020. Dans l’un et l’autre cas, l’impulsion était venue, en particulier, de Max Schrems. D’où les noms « Schrems I » et « Schrems II » donné à ces deux affaires.

Y aura-t-il un Schrems III ? NOYB a en tout cas préparé le terrain et affirme disposer de diverses options. Sur le papier, elle a effectivement avancé plusieurs éléments susceptibles d’être brandis auprès de la CJUE. Parmi eux, des divergences d’interprétation des notions de proportionnalité et de nécessité entre l’UE et les USA. Ou l’inconformité du mécanisme de recours proposé aux personnes concernées.

⏩⚠️In preperation of the #TADPF » (aka #SafeHarbor 3.0 or #PrivacyShield 2.0) you can find our take here: https://t.co/Z0UjE6eHPw

⏩🔴 You can then witness an "alternative truth" by @dreynders from 15:45 here: https://t.co/i8CO9RrKZT

— Max Schrems 🇪🇺 (@maxschrems) July 10, 2023

Data Privacy Framework : le Parlement avait dit non

Il est une institution européenne où le Data Privacy Framework n'est pas passé comme une lettre à la poste. Le Parlement s'y est effectivement opposé, et à une large majorité. Les eurodéputés ont eux aussi étrillé le mécanisme de recours. Ainsi, entre autres, que les dispositions en matière de conservation des données, de transferts ultérieurs et de finalités légitimes sous le couvert desquelles Washington pourrait tout de même mener des activités de renseignement électronique.

Leur vote n'avait toutefois que valeur d'avis. Bruxelles ne manque pas de le souligner dans sa plaquette de présentation. Et d'évoquer, dans sa « FAQ Data Privacy Framework », un « mécanisme de recours indépendant et impartial ». Comme, d'ailleurs, une « supervision améliorée des activités de renseignement ».

À consulter en complément :

10 ans après Snowden, qu'en est-il de la protection des données ? (juin 2023)
Les eurodéputés étrillent le successeur du Privacy Shield (mai 2023)
Data Privacy Framework : le compte n'y est pas pour les Cnil européennes (mars 2023)
Bientôt un successeur au Privacy Shield ? (février 2022 ; Washington s'apprêtait à soumettre une première proposition à Bruxelles)
Privacy Shield : la justice casse le bouclier de données UE - États-Unis (juillet 2020)
La justice européenne invalide le Safe Harbor, et après ? (octobre 2015)