Le 10 juillet 2023, la Commission euro­péenne a conclu que les États-Unis offrent un niveau de protec­tion adéquat pour les données person­nelles trans­fé­rées de l’UE vers les entre­prises améri­caines parti­ci­pant au EU‑U.S. Data Privacy Framework. Une liste (publique) des entre­prises certi­fiées sera tenue par le Department of Commerce.

Concrètement, cela signi­fie que les entre­prises basées aux États-Unis peuvent se faire « certi­fier » en s’en­ga­geant à respec­ter certaines obli­ga­tions en matière de protec­tion des données, telles que la limi­ta­tion des fina­li­tés, la mini­mi­sa­tion des données, la limi­ta­tion du stockage et la sécu­rité des données, ainsi que des obli­ga­tions en matière de trans­fert de données à des tiers. Le respect de ces obli­ga­tions sera contrôlé par le Department of Commerce et la Federal Trade Commission. La Commission euro­péenne a publié des FAQ très utiles.

Au-delà de l’adap­ta­tion de la certi­fi­ca­tion appli­cable aux entre­prises améri­caines affi­liées, le EU-US Data Privacy Framework met en place des règles plus strictes pour limi­ter l’ac­cès par les auto­ri­tés améri­caines aux données person­nelles trans­fé­rées depuis l’Union Européenne, à ce qui est néces­saire et propor­tionné. Par ailleurs le nouvel accord intro­duit des instances de recours permet­tant aux personnes concer­nées de faire valoir leurs droits auprès de la Data Protection Review Court (DPRC) en ce qui concerne l’ac­cès à leurs données person­nelles par les auto­ri­tés améri­caines, respec­ti­ve­ment un recours à des méca­nismes indé­pen­dants et gratuits de règle­ment des litiges et à un groupe d’ar­bi­trage en ce qui concerne les litiges avec les entre­prises affiliées.

Et en Suisse ?

Les auto­ri­tés suisses sont en contact avec les auto­ri­tés améri­caines afin d’éla­bo­rer le plus rapi­de­ment possible une version suisse du EU‑U.S. Data Privacy Framework. Le commu­ni­qué de presse du Préposé fédé­ral du 10 juillet incite à l’op­ti­misme : « [Un tel accord] devrait être conclu entre la Suisse et les Etats-Unis dans les mois qui suivent la déci­sion euro­péenne [rela­tive au EU‑U.S. Data Privacy Framework] ». Il appar­tien­dra ensuite au Conseil fédé­ral d’ajus­ter la liste des pays qui figure en annexe de la nouvelle OPDo. Dans l’in­ter­valle, le méca­nisme tradi­tion­nel impli­quant le recours aux Standard Contractual Clauses demeure, avec les réserves exis­tantes. Cela étant dit, dès que la version suisse du EU‑U.S. Data Privacy Framework est en place, le recours aux Standard Contractual Clauses ne sera plus néces­saire si le réci­pien­daire améri­cain est certi­fié dans le cadre du EU‑U.S. Data Privacy Framework. En revanche, tout comme la situa­tion qui préva­lait sous les défunts Safe Harbour et Privacy Shield, il est recom­mandé de prévoir contrac­tuel­le­ment un enga­ge­ment du pres­ta­taire de main­te­nir sa certification.

Une solu­tion pérenne ?

Dans une prise de posi­tion très critique, l’as­so­cia­tion None of your busi­ness (dont l’un des fers de lance est Max Schrems qui est à l’ori­gine de l’an­nu­la­tion judi­ciaire des méca­nismes précé­dents de règle­men­ta­tion des trans­ferts de données person­nelles sur une base trans­at­lan­tique) a d’ores et déjà annoncé vouloir soumettre le EU‑U.S. Data Privacy Framework à la Cour de justice de l’Union euro­péenne. Un arrêt « Schrems III » semble donc inévi­table, mais son résul­tat est diffi­cile à prévoir à ce stade.