La Commission vient de publier le premier rapport de réexamen de la décision d’adéquation du cadre de confidentialité des données personnelles entre l’Europe et les États-Unis.
La décision d’adéquation impose à la Commission européenne de procéder à des réexamens périodiques du “Data Privacy Framework” (DPF), dont le premier devait avoir lieu un an après la notification de la décision d’adéquation aux États. Patrick Blum, Délégué Général de l’AFCDP (l’Association Française des Correspondants à la Protection des Données à caractère Personnel), rappelle que, près l’invalidation du Safe Harbor en 2015, puis du Privacy Shield en 2020 par la Cour de justice de l’Union européenne, un nouveau cadre a été mis en place : le Data Privacy Framework (DPF). Adopté en 2023, ce nouveau dispositif vise à limiter l’accès des services de renseignement américains aux données des Européens, établit un mécanisme de recours indépendant pour les citoyens européens et renforce les obligations des entreprises américaines en matière de protection des données.
Alors qu’en est-il ? “Sur la base des informations recueillies au cours de ce premier examen, la Commission conclut que les autorités américaines ont mis en place les structures et procédures nécessaires pour garantir le bon fonctionnement du cadre de protection des données“, se félicitent les auteurs du rapport.
Ce premier rapport constate que 2 400 entreprises ont obtenu la certification Privacy Shield. Parmi elles, 70 % sont des PME. Sans surprise, 47 % appartiennent au secteur des technologies de l’information, des communications et des technologies (TIC). Autre caractéristique des entreprises homologuées : 60 % des entreprises sont certifiées exclusivement pour les données non RH, 2,5 % le sont pour les données RH uniquement, et 37,5 % pour les deux types de données.
Un nécessaire renforcement des contrôles
“La Commission se félicite que la Federal Trade Commission (FTC) vérifie systématiquement les violations du DPF dans toutes ses enquêtes sur la protection de la vie privée. Étant donné que l’efficacité continue du DPF dépend de son application rigoureuse, il est attendu que la FTC intensifie ses pouvoirs d’enquête en vertu du cadre, notamment en menant de manière proactive des actions ciblées sur le respect des exigences spécifiques du DPF et/ou de certains secteurs.” notent cependant la Commission.
Plusieurs évolutions de rapprochement ont lieu pour répondre aux enjeux des données. “Ces évolutions témoignent généralement d’une convergence accrue entre les approches de l’UE et des États-Unis face aux défis liés à la protection de la vie privée, notamment par l’adoption de concepts juridiques similaires, ce qui renforce la coopération transatlantique amorcée avec l’accord Privacy Shield“.
À la lumière de ce réexamen, et comme prévu au considérant 211 de la décision d’adéquation, la Commission européenne estime qu’il convient de procéder au prochain réexamen périodique dans seulement trois ans.