Après le Privacy Shield et le Safe Harbour mis en place par la Commission européenne puis invalidés grâce au recours d’un citoyen autrichien, Max Schrems, la CE tente encore nous faire croire que le Data Privacy Framework (DPF) adopté en 2023 apporte des garanties suffisantes en matière de transfert et de protection des données personnelles de citoyens européens vers les États-Unis. Qui peut encore y croire ?
En juillet 2023, la CE publiait sa nouvelle décision d’adéquation régissant le transfert de données personnelles de l’Europe vers les États-Unis. Le précédent accord Privacy Shield avait été annulé par la CJUE en 2020, tout comme le Safe Harbor en 2015.
2 800 entreprises US auraient obtenu la certification DPF qui garantit que ces entreprises respectent bien les principes contenus du DPF. Le département du Commerce américain aurait indiqué qu’il n’avait pas détecté de problèmes de conformité aux principes du DPF et qu’il n’avait pas renvoyé d’entreprises aux autorités américaines en vue d’une éventuelle action. Selon le rapport de la commission européenne, l’absence de recours ou d’arbitrage contre le DPF un an après son entrée en vigueur serait une garantie suffisante.
C’est oublié que c’est l’accès illicite aux données personnelles des Européens par les agences de renseignements US qui a été jugé disproportionné et avait fondé la CJUE en 2015 puis en 2020 d’annuler les précédents cadres de transfert de données transatlantiques. Les services secrets auraient mis en place de nouvelles politiques et lignes directrices internes …