EU-US DPF : un nouveau cadre de transfert de données entre l’UE et les États-Unis

Le président Biden a signé un décret relatif aux transferts de données personnelles entre l’Europe et les Etats-Unis : EU-US DPF, « Data Privacy Framework ».

Ce texte met en œuvre un cadre de confidentialité des données personnelles conforme au RGPD (1).

En 2020, la Cour de justice européenne avait invalidé l’accord réglementant le transfert des données personnelles entre les deux continents. Principalement en cause, les programmes de surveillance américains qui permettent au gouvernement d’avoir un accès très large aux données traitées par les entreprises (2).

Encadrement des activités de renseignement par le EU-US DPF

Ce décret exige une mise à jour des politiques des services de renseignement pour tenir compte de la vie privée et des libertés civiles des personnes (3).

En effet, il ajoute des garanties supplémentaires et étend le contrôle des responsables de la conformité. Il stipule en outre que les activités de renseignement électromagnétique :

• soient menées uniquement dans la poursuite d’objectifs de sécurité nationale définis,
• seulement lorsque cela est nécessaire pour faire avancer une priorité validée en matière de renseignement et d’une manière proportionnées à cette priorité,
• et que la vie privée et les libertés civiles de toutes les personnes concernées, indépendamment de leur nationalité ou de leur pays de résidence, soit prisent en considération.

Les services de renseignement américains devront ainsi mener leurs opérations de surveillance électronique proportionnellement aux objectifs de sécurité nationale définis en amont.

Le président américain charge également le Conseil de surveillance de la protection de la vie privée et des libertés civiles :

• d’examiner ces mises à jour et
• de procéder à un examen annuel.

Un mécanisme de recours approprié

Le décret met en place un recours juridique permettant aux résidents de l’UE de contester le traitement de leurs données personnelles. Il s’agit d’un mécanisme indépendant à deux niveaux dotés d’un pouvoir contraignant qui permet :

• d’une part, d’obtenir un examen indépendant ;
• d’autre part, d’être contraignant pour les agences de renseignement qui ne respecteraient pas le décret.

Enfin, il doit permettre aux citoyens européen de demander réparation auprès d’un tribunal indépendant (the Data Protection Review Court “DPRC”) (4). Ce dernier est composé de membres extérieurs au gouvernement américain.

Cet organe de régulation « aura toute autorité pour statuer sur les demandes et ordonner des mesures correctives si nécessaire ».

Avant d’en arriver là, l’officier de protection des libertés civiles (CLPO) auprès du renseignement national enquêtera préalablement sur les plaintes reçues.

Le DPRC examinera de manière indépendante les décisions prises par le responsable de la protection des libertés civiles du Bureau du directeur du renseignement national (Civil Liberties Protection Officer of the Office of the Director of National Intelligence « ODNI CLPO ») en réponse aux plaintes qualifiées envoyées par des individus par l’intermédiaire des autorités publiques appropriées qui allèguent certaines violations de la loi des États-Unis dans le conduite des activités de renseignement électromagnétique des États-Unis (5).

Améliorer la confiance dans les flux transatlantiques

Le EU-US DPF représente l’aboutissement d’un effort conjoint des États-Unis et de la Commission européenne. Il rétablit la confiance et la stabilité dans les flux de données transatlantiques.

Ces mesures fourniront à la Commission européenne une base pour adopter une nouvelle décision d’adéquation. Cette dernière rétablira un mécanisme de transfert de données conforme au RGPD. Il offrira également une plus grande sécurité juridique aux entreprises qui transfèrent des données personnelles vers les États-Unis à l’aide de :

• clauses contractuelles types (CCT) et
• règles d’entreprise contraignantes (BCR).

Nos avocats experts des Départements Informatique et libertés conseil et contentieux peuvent vous accompagner, n’hésitez pas à nous contacter : paris@lexing.law

Isabelle Pottier
Isabelle Buffelan Abu Sbeit
Lexing Département Etudes et publications

(1) Fact sheet : President Biden Signs Executive Order to Implement the European Union-US Data Privacy Framework
(2) Voir notre post du 21 08 2020.
(3) Office of Privacy and Civil Liberties:  Redress in the Data Protection Review Court
(4) US Dpt Justice Data Protection Review Court 07 10 2022 (28 CFR Part 201)
(5) US Executive Order 07 10 2022 On Enhancing Safeguards For United States Signals Intelligence Activities