Les multiples révisions des lois américaines n'entravent pas les engagements pris par les Etats-Unis dans le cadre du Data Privacy Framework, texte adopté en juillet 2023 - successeur du Privacy Shield - qui encadre les flux de données personnelles entre l'Union européenne et les Etats-Unis. C'est la conclusion à laquelle est arrivée la Commission européenne le 9 octobre 2024 à l'occasion du premier examen du texte.
Le document d'une vingtaine de pages compile les retours faits par des organisations non gouvernementales impliquées dans la protection des données ainsi que des échanges menés en juillet dernier entre Didier Reynders, le commissaire européen à la justice, et Gina Raimondo, secrétaire américaine au commerce.
2800 entreprises certifiées
Dans les détails, le rapport nous apprend que près de 2800 entreprises ont été certifiées par le ministère du commerce. C'est plus que sous le premier précédent cadre, le Privacy Shield, durant sa première année de fonctionnement, indique la Commission. 70% des entreprises certifiées sont des PME et un grand nombre travaillent dans le secteur des technologies de l'informatique et de la communication (TIC). Sur ce point, après une année de "mise en place du référentiel", Bruxelles demande au ministère "d'intensifier ses efforts pour surveiller et vérifier le respect des principes" afin de garantir "un niveau élevé et continu de conformité au cadre".
Concernant les recours formés par des particuliers s'estimant lésés, la Commission rapporte que les associations et les entreprises interrogées ont reçu "très peu voire aucune plainte". Les entreprises, ajoute-t-elle, ont mis en place "différents outils et mécanismes" destinés à l'exercice des droits et au dépôt de plaintes "notamment via des formulaires en ligne, par email et par téléphone".
Un focus sur les changements dans la législation américaine
Dans son rapport, Bruxelles s'est également penché sur les changements dans la législation américaine. De façon générale, elle estime que les nouvelles lois et jurisprudences "témoignent d’une convergence accrue entre les approches de l’UE et des États-Unis face à certains défis liés à la protection de la vie privée, notamment par l’utilisation de concepts juridiques similaires". Elle cite ainsi l'executive order du 28 février 2024 qui vise à restreindre les flux de données de données personnelles vers des pays considérés comme "préoccupants", tels que la Chine, la Corée du Nord, la Russie, l'Iran, Cuba ou encore le Venezuela. Autrement dit, des Etats avec qui les Etats-Unis entretiennent des relations diplomatiques compliquées.
Comme le rappelle la Commission, le Data Privacy Framework porte aussi sur les flux de données des entreprises américaines vers les autorités américaines. Sur ce point, "il n'y a eu aucun développement pertinent concernant le cadre juridique qui s'applique à l'accès aux données à des fins de poursuite pénale ou réglementaire au cours de la première année du DPF". Seuls des changements dans le domaine de la sécurité nationale ont eu lieu, note l'exécutif européen. Il s'agit de l'extension pour deux ans - soit jusqu'en 2026 - de la section 702 du FISA (Foreign Intelligence Surveillance Act).
Suivre les développements ultérieurs du FISA
Ce texte permet aux agences de renseignement américaines d'accéder sans mandat judiciaire aux communications – emails et conversations téléphoniques – des étrangers à l'étranger (dont les Européens), y compris s'ils communiquent avec des Américains, via les fournisseurs de services Internet et entreprises de télécommunications. Le nouveau texte a notamment élargi la définition de "fournisseur de services de communication électroniques" ce qui agrandit le champ des entreprises soumises aux injonctions d'interception. A l'heure actuelle, seul le Congrès possède la liste des entreprises concernées. Cette situation a ému de nombreuses associations, rapporte Bruxelles qui ajoute qu'un amendement est en cours d'examen qui devrait clarifier les choses.
La Commission européenne estime que ce changement ne soulève pas de problématique particulière. Elle s'engage à suivre de près "les développements ultérieurs" du FISA, notamment le prochain examen de la loi qui doit avoir lieu dans deux ans. Le rapport conclut donc que "les autorités américaines ont mis en place les structures et procédures nécessaires pour garantir le bon fonctionnement du cadre de protection des données".
Le Data Privacy Framework en attente de jugement
Le sort du Data Privacy Framework est toujours en stand-by devant la justice européenne. C'est le député français Philippe Latombe qui avait déposé un recours en référé. Le caractère urgent n'a pas été établi, avait jugé la Cour de justice de l'Union européenne pour rejeter la procédure d'urgence. Mais le fond du litige doit encore être tranché.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
