La Commission européenne a adopté une décision d'adéquation pour les États-Unis en juillet 2023, finalisant la mise en oeuvre du cadre transatlantique de protection des données (DPF). Il s'agit de la troisième tentative d'établissement d'un mécanisme juridique pour les transferts de données UE-US, après l'invalidation par la Cour de justice des cadres Safe Harbor et Privacy Shield.

Qu'est-ce que le DPF ?

Le cadre se compose de deux volets. Du côté européen, la décision d'adéquation de la Commission autorise effectivement les transferts de données vers des organisations américaines éligibles. Du côté américain, le décret exécutif 14086 impose des règles limitant la surveillance par les agences de renseignement des données provenant des pays de l'UE/EEE et établit un mécanisme de recours pour les personnes concernées.

Le DPF n'est pas universel. Les organisations européennes ne peuvent s'appuyer sur la décision d'adéquation que lorsqu'elles transfèrent des données vers des entreprises américaines ayant auto-certifié leur adhésion aux principes du cadre auprès du Département du Commerce. Les transferts vers des organisations non certifiées nécessitent toujours des clauses contractuelles types (CCT) ou d'autres garanties.

L'historique : Schrems I et II

Les révélations Snowden de 2013 ont déclenché une bataille juridique d'une décennie sur les transferts de données UE-US. Le militant autrichien pour la vie privée Max Schrems a contesté les transferts de données transatlantiques, arguant que la surveillance américaine exposait les données européennes à des risques inacceptables. La Cour de justice lui a donné raison à deux reprises, invalidant le Safe Harbor dans Schrems I et le Privacy Shield dans Schrems II.

Ces arrêts ont établi deux principes importants : les décisions d'adéquation doivent refléter de véritables normes de protection des données plutôt qu'une commodité politique, et les organisations peuvent avoir besoin de garanties supplémentaires au-delà des CCT lorsqu'elles transfèrent des données vers des pays disposant de capacités de surveillance étendues.

Impact de Schrems II

Après l'arrêt de 2020, de nombreuses entreprises ont continué à transférer des données vers les États-Unis sans garanties adéquates. Les organisations de protection de la vie privée ont répondu en déposant des plaintes qui ont conduit les autorités nationales à prendre des mesures d'application contre les outils d'analyse et de publicité basés aux États-Unis en France, en Italie, en Autriche et dans d'autres marchés clés.

Le DPF survivra-t-il à un recours juridique ?

Les défenseurs de la vie privée ont déjà annoncé leur intention de contester la décision d'adéquation devant la Cour de justice. Le cadre représente une amélioration par rapport au Privacy Shield, mais des questions subsistent quant à savoir si les limitations imposées par le décret exécutif en matière de surveillance sont suffisantes.

Le Parlement européen a émis un avis négatif sur le cadre, ce qui pourrait influencer la position de la Cour. Des facteurs géopolitiques, notamment la relation stratégique UE-US, pourraient pousser dans l'autre direction. Si le DPF est invalidé dans un éventuel arrêt « Schrems III », les entreprises européennes seront à nouveau confrontées à une incertitude juridique fondamentale concernant leur utilisation des services cloud et des sous-traitants de données basés aux États-Unis.

Les organisations devraient maintenir des plans de contingence pour leurs transferts de données vers les États-Unis, notamment en évaluant des alternatives hébergées en Europe pour les services critiques.