- La Commission européenne a présenté le 13 décembre 2022 le projet de décision d’adéquation du cadre de protection des données de l’UE et des États-Unis, début d’une période d’examen d’environ six mois.
- Le projet s’appuie sur des mesures américaines (EO 14086, DPA-Courts) et contient des annexes avec des principes et des bulletins d’autorités sur l’application et le contrôle.
En tant que successeur de l’ancien cadre de la Sphère de sécurité (Safe Harbour Framework) et ensuite du Privacy Shield, que la CJCE a respectivement annulés (Schrems I et II), le “cadre UE‑U.S. pour la protection des données” (“EU‑U.S. DPF” ou “Transatlantic Data Privacy Framework”, “TADPF”) est prévu. Comme précédemment, le cadre est basé sur une offre des États-Unis et une décision d’adéquation de la Commission européenne.
Après la publication par Joe Biden, le 7 octobre 2022, de l’Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities (EO 14086) et l’Attorney General Dispositions d’exécution pour la nouvelle “Data Protection Review Court”, la balle était dans le camp de l’UE.
La Commission européenne a maintenant, le 13 décembre 2022 Projet de décision d’adéquation correspondante et a ainsi lancé la procédure qui doit aboutir à une décision d’adéquation (voir Communiqué de presse). Le projet contient une évaluation du cadre américain de protection des données et des restrictions d’accès des autorités aux données transférées et conclut naturellement que l’Executive Order répond aux préoccupations exprimées par la CJCE dans l’arrêt Schrems II.
C’est le début d’une longue histoire phase de six moisLe Conseil européen de la protection des données (CEPD) se prononcera à ce sujet avant que les États membres ne se prononcent sur le caractère adéquat. Jusqu’à environ Mi-2023 l’adéquation pourrait être établie de manière formelle.
La décision contient en annexe
- Annexe IEU‑U.S. Data Privacy Framework Principles du ministère américain du commerce. On y trouve les règles d’assujettissement des entreprises au TADPF, y compris les exigences de contenu concernant le traitement par ces entreprises des données personnelles transmises (y compris les données cryptées). Ces principes rappellent fortement le Privacy Shield ;
- Annexe IILetter from U.S. Secretary of Commerce Gina Raimondo ;
- Annexe III: Letter from Under Secretary of Commerce for International Trade Marisa Lago avec des compléments sur le rôle du Department of Commerce qui gère le TADPF d’un point de vue administratif, entre autres en tenant à jour la liste des entreprises assujetties et en voulant vérifier le respect du TADPF par ces entreprises ;
- Annexe IVLettre de Lina M. Khan, présidente de la Federal Trade Commission. La FTC contribue à l’application du TADPF en étant en mesure de poursuivre des actes qui, selon la conception européenne, relèvent du droit de la concurrence déloyale, y compris le non-respect du TADPF par des entreprises assujetties. L’annexe IV contient une liste de cas dans lesquels la FTC a poursuivi des violations correspondantes dans le cadre de la Sphère de sécurité et du Privacy Shield ;
- Annexe V: lettre de Pete Buttigieg, Secretary of Transportation, qui peut agir de la même manière que la FTC en cas d’infractions commises par les compagnies aériennes et les fournisseurs de voyages aériens ;
- Annexe VILettre de Bruce C. Swartz, U.S. Department of Justice, Criminal Division. Cette lettre donne un aperçu succinct des moyens d’investigation au niveau fédéral pour manipuler les données des entreprises aux États-Unis à des fins d’application de la loi et de protection d’autres intérêts. On y trouve également des explications sur les subpoenas et les warrants ainsi que sur leurs conditions et leurs effets et, entre autres, sur le Stored Communications Act ;
- Annexe VIILettre de Christopher C. Fonzone pour l’Office of the Director of National Intelligence, avec entre autres des explications sur la FISA. Il y est notamment confirmé que les services secrets (la “communauté du renseignement”) Appliquer l’Executive Order de Biden aux mesures prises en vertu de la norme FISA 702 être.