Le Data Privacy Framework (DPF) également connu sous le nom de « Transatlantic Data Privacy Framework », est un accord qui vise à réguler le transfert des données personnelles entre l’Union européenne et les Etats Unis. Il a été conçu pour répondre aux préoccupations relatives à la protection des données et à la vie privée des citoyens européens, suite à l’invalidation du texte précédent, le Privacy Shield, par la CJUE en juillet 2020. Cette décision avait mis en évidence les risques liés à l’accès aux données européennes par les agences américaines.
Cette nouvelle initiative signée 2023 devait donc garantir des normes claires pour la collecte, le stockage et le traitement des données personnelles en prévoyant un niveau de protection adéquat pour les données européennes transférées aux Etats Unis. Elle avait précisément pour objectif de pallier les incompatibilités constatées par le Privacy Shield.
Dès son lancement, le Data Privacy Framework a suscité de vives critiques, en raison de l’absence de bases législatives solides, dans la mesure où le texte reposait sur des décrets présidentiels américains qui pouvaient à tout moment être modifiés ou annulés, notamment au gré des changements de gouvernement tous les quatre ans. Cette instabilité institutionnelle représentait une menace sérieuse pour les Etats membres de l’Union européenne.
Les débats de ces dernières semaines aux Etats Unis nous laissent dans d’incertitude et si Data Privacy Framework venait à être dénoncé, les entreprises européennes se retrouveraient face à des défis juridiques majeurs. Elles ne pourraient plus se baser sur ce cadre pour justifier leur transfert de données s’exposant ainsi à ne plus pouvoir utiliser les services de clouds américains. Elles seraient alors contraintes à explorer des alternatives coûteuses et complexes pour se conformer aux exigences légales du RGPD et sécuriser leurs flux de données
L’administration américaine actuelle a déjà annoncé qu’elle avait l’intention de se prononcer sur le sort du décret signé sous le gouvernement précédent qui sert de base à l’accord transatlantique. Pour l’Europe la situation est préoccupante comme l’indique l’avocat autrichien Max Schrems : « Il est difficile d’imaginer qu’un décret Biden, imposé aux Etats Unis par l’Europe et régulant l’espionnage américain à l’étranger, puisse survivre à la logique « America First » de Trump. »
Il est impératif que la Commission européenne réagisse rapidement à cette situation pour éviter que les entreprises et les structures européennes ne se retrouvent face à des obstacles fondamentaux qui entraveraient leurs opérations et leurs relations commerciales. Elle doit donc adopter des mesures appropriées en urgence pour assurer à l’économie numérique européenne de pouvoir continuer à transférer ses données en toute légalité et sécurité.
Jean-Marie Cavada
Président iDFrights
Colette Bouckaert
Secrétaire générale iDFrights
