Transfert transatlantique de données : un nouveau cadre européen adopté
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
À peine validé, ce Data Privacy Framework est déjà contesté devant la CJUE par Noyb, l’association qui avait obtenu l’invalidation du Safe Harbour et du Privacy Shield
L’Union européenne a officiellement adopté, le 10 juillet 2023, un nouveau cadre juridique sur le transfert de données vers les États-Unis, baptisé Data Privacy Framework. Il prend la suite du Safe Harbour, adopté en 2000, invalidé en 2015 par la Cour de Justice de l’Union européenne (CJUE), et du Privacy Shield, adopté en 2016, invalidé en 2020 par la CJUE.
L’invalidation découlait du non-respect du RGPD des deux cadres juridiques, compte tenu des législations américaines. Depuis cette date, le mécanisme des « clauses contractuelles » régit le transfert transatlantique des données. Mais il ne règle pas le problème sur le fond, générant notamment des plaintes et des amendes contre les géants américains pour leur traitement des données.
Cette fois, les législateurs européens estiment avoir obtenu des garanties suffisantes de Washington sur la protection des données européennes. Le gouvernement américain a ainsi créé une nouvelle « Cour d’examen de la protection des données », que des citoyens européens pourront saisir en cas de litige. Les États-Unis se sont surtout engagés à limiter l’accès de leurs autorités aux données européennes à ce qui est « nécessaire » et « proportionné ».
Washington reprend ainsi la terminologie de l’Union européenne mais sans modifier ses lois, notamment celles sur l’accès aux données extraterritoriales, comme le CLOUD Act. Dès lors, l’association Noyb, qui avait obtenu l’invalidation du Safe Harbour et du Privacy Shield, a une nouvelle fois saisi la CJUE pour contester le Data Privacy Framework.
« La définition de la folie est de faire la même chose encore et encore en espérant un résultat différent. Tout comme le Privacy Shield, le dernier accord ne repose pas sur des changements matériels, mais sur des intérêts politiques », pointe l’activiste Max Schrems, qui dirige Noyb.
« Se contenter d’annoncer que quelque chose est ‘nouveau’, ‘solide’ ou ‘efficace’ ne suffit pas devant la CJUE. Il aurait fallu des modifications de la législation américaine sur la surveillance pour que cela fonctionne – et nous ne les avons tout simplement pas », conclut-il.