accueil

L’administration Trump rebat les cartes du Data privacy framework

Entré en vigueur en juillet 2023 pour encadrer les flux transatlantiques de données personnelles, le Data Privacy Framework semble aujourd’hui menacé d’invalidation par la nouvelle administration américaine. Explications.

De quoi parle-t-on ?

Le 23 janvier dernier, Max Schrems, fondateur de l’ONG autrichienne Noyb, alertait sur le risque d’invalidation du Data Privacy Framework (DPF), l’accord réglementant le transfert des données personnelles entre l’Union européenne et les États Unis. En cause : la nouvelle administration Trump, qui avait décidé de mettre fin au mandat de trois membres, démocrates, de la principale autorité garante de l’application du DPF aux Etats-Unis, le Privacy and Civil Liberties Oversight Board (PCLOB). En l’absence de membres remplaçants, le PCLOB ne peut plus ouvrir de nouvelles enquêtes, créant ainsi un vide juridique qui remet en question les bases de l’accord.

Pourquoi c’est important ?

La crainte de l’invalidation du DPF fait redouter une “situation de vulnérabilité totale” avec la “remise en cause de la légalité des transferts”d’après Sirdata. Si le Data Privacy Framework venait à être invalidé, ce ne serait pas la première fois que le transfert des données personnelles entre l’Union européenne et les États-Unis se retrouverait dans une situation d’instabilité juridique. Le DPF est, en effet, le troisième accord de ce type. Le premier, le Safe Harbor, entre en vigueur en octobre 1998, et le deuxième, le Privacy Shield, en 2016. À chaque fois, ces décisions d’adéquation de la Commission ont été invalidées, respectivement en 2015 et en 2020, à la suite d’actions engagées auprès de la Cour de justice de l’Union européenne (CJUE) par Max Schrems dénonçant la non-conformité de ces accords au RGPD. Ainsi, “de 2020 à 2023, pendant trois ans, il y a eu un flottement juridique en l’absence de décisions d’adéquation”, explique Julie Carel, avocate et partner chez Momentum Avocats. Ce flou juridique avait conduit l’administration Biden à collaborer avec l’Union européenne afin de trouver un accord sur une protection des données personnelles. Si le Data Privacy Framework était de nouveau invalidé, les conséquences pour les entreprises seraient considérables, comme l’explique cet article de mind Media sur les scénarios possibles.