swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Le EU‑U.S. Data Privacy Framework déploie (enfin!) ses effets

Philipp Fischer, le 11 juillet 2023
Mettant fin à une attente de plus d’une année (après l’an­nonce initiale inter­ve­nue le 25 mars 2020, cf. swiss​pri​vacy​.law/​1​92/) et malgré une prise de posi­tion très critique du Parlement euro­péen (cf. swiss​pri​vacy​.law/​2​37/), la Commission euro­péenne a décidé le 10 juillet 2023 que les États-Unis garan­tissent un niveau de protec­tion adéquat pour les données person­nelles trans­fé­rées de l’UE vers les entre­prises améri­caines qui adhè­re­ront au EU‑U.S. Data Privacy Framework. Après le Safe Harbour et le Privacy Shield, la troi­sième tenta­tive de régler la ques­tion du trans­fert trans­at­lan­tique de données person­nelles est donc en place. Le Préposé fédé­ral annonce qu’une déci­sion simi­laire devrait être prise en Suisse dans les prochains mois. Il s’agit-là d’un déve­lop­pe­ment règle­men­taire très impor­tant, notam­ment pour les entre­prises qui utilisent une infra­struc­ture basée sur la tech­no­lo­gie cloud. A quelques semaines de l’en­trée en vigueur de la nouvelle LPD, cette déci­sion devrait mettre fin à une phase d’in­cer­ti­tude juri­dique, qui avait commencé avec la déci­sion Schrems II (publiée, à quelques jours près, il y a exac­te­ment 3 ans, cf. swiss​pri​vacy​.law/​17/).

Le 10 juillet 2023, la Commission euro­péenne a conclu que les États-Unis offrent un niveau de protec­tion adéquat pour les données person­nelles trans­fé­rées de l’UE vers les entre­prises améri­caines parti­ci­pant au EU‑U.S. Data Privacy Framework. Une liste (publique) des entre­prises certi­fiées sera tenue par le Department of Commerce.

Concrètement, cela signi­fie que les entre­prises basées aux États-Unis peuvent se faire « certi­fier » en s’en­ga­geant à respec­ter certaines obli­ga­tions en matière de protec­tion des données, telles que la limi­ta­tion des fina­li­tés, la mini­mi­sa­tion des données, la limi­ta­tion du stockage et la sécu­rité des données, ainsi que des obli­ga­tions en matière de trans­fert de données à des tiers. Le respect de ces obli­ga­tions sera contrôlé par le Department of Commerce et la Federal Trade Commission. La Commission euro­péenne a publié des FAQ très utiles.

Au-delà de l’adap­ta­tion de la certi­fi­ca­tion appli­cable aux entre­prises améri­caines affi­liées, le EU-US Data Privacy Framework met en place des règles plus strictes pour limi­ter l’ac­cès par les auto­ri­tés améri­caines aux données person­nelles trans­fé­rées depuis l’Union Européenne, à ce qui est néces­saire et propor­tionné. Par ailleurs le nouvel accord intro­duit des instances de recours permet­tant aux personnes concer­nées de faire valoir leurs droits auprès de la Data Protection Review Court (DPRC) en ce qui concerne l’ac­cès à leurs données person­nelles par les auto­ri­tés améri­caines, respec­ti­ve­ment un recours à des méca­nismes indé­pen­dants et gratuits de règle­ment des litiges et à un groupe d’ar­bi­trage en ce qui concerne les litiges avec les entre­prises affiliées.

Et en Suisse ?

Les auto­ri­tés suisses sont en contact avec les auto­ri­tés améri­caines afin d’éla­bo­rer le plus rapi­de­ment possible une version suisse du EU‑U.S. Data Privacy Framework. Le commu­ni­qué de presse du Préposé fédé­ral du 10 juillet incite à l’op­ti­misme : « [Un tel accord] devrait être conclu entre la Suisse et les Etats-Unis dans les mois qui suivent la déci­sion euro­péenne [rela­tive au EU‑U.S. Data Privacy Framework] ». Il appar­tien­dra ensuite au Conseil fédé­ral d’ajus­ter la liste des pays qui figure en annexe de la nouvelle OPDo. Dans l’in­ter­valle, le méca­nisme tradi­tion­nel impli­quant le recours aux Standard Contractual Clauses demeure, avec les réserves exis­tantes. Cela étant dit, dès que la version suisse du EU‑U.S. Data Privacy Framework est en place, le recours aux Standard Contractual Clauses ne sera plus néces­saire si le réci­pien­daire améri­cain est certi­fié dans le cadre du EU‑U.S. Data Privacy Framework. En revanche, tout comme la situa­tion qui préva­lait sous les défunts Safe Harbour et Privacy Shield, il est recom­mandé de prévoir contrac­tuel­le­ment un enga­ge­ment du pres­ta­taire de main­te­nir sa certification.

Une solu­tion pérenne ?

Dans une prise de posi­tion très critique, l’as­so­cia­tion None of your busi­ness (dont l’un des fers de lance est Max Schrems qui est à l’ori­gine de l’an­nu­la­tion judi­ciaire des méca­nismes précé­dents de règle­men­ta­tion des trans­ferts de données person­nelles sur une base trans­at­lan­tique) a d’ores et déjà annoncé vouloir soumettre le EU‑U.S. Data Privacy Framework à la Cour de justice de l’Union euro­péenne. Un arrêt « Schrems III » semble donc inévi­table, mais son résul­tat est diffi­cile à prévoir à ce stade.

 



Proposition de citation : Philipp Fischer, Le EU‑U.S. Data Privacy Framework déploie (enfin!) ses effets, 11 juillet 2023 in www.swissprivacy.law/238


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Data Privacy Framework
  • Swiss-US Data Privacy Framework : un premier pas vers une approche plus pragmatique?
  • Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
  • Adéquation UE – États-Unis : le retour ? Point de situation et analyse de la Résolution du Parlement européen
Derniers articles
  • Les modèles de prix confidentiels soumis au principe de la transparence ?
  • Transparence à géométrie variable : le malaise vaudois
  • Votre carte d’identité comme carte de fidélité RGPD
  • Les limites du secret d’affaires : Analyse des recommandations du PFPDT par le TAF
Abonnement à notre newsletter
swissprivacy.law