En attendant Schrems III (Bis)

Les entreprises européennes ne devraient pas, en l’état actuel de la réglementation, utiliser des services cloud américains avec des données personnelles de citoyens européens sans précautions particulières. Cela ne les empêche guère de le faire. La Commission Européenne a déjà tenté deux fois de rendre une décision d’adéquation au RGPD pour faciliter l’export de données personnelles aux Etats-Unis : d’abord avec le Safe Harbor et ensuite avec le Privacy Shield. Ces deux dispositifs négociés avec les Etats-Unis ont été annulés par les deux « arrêts Schrems » de la Cour de justice de l’Union européenne (CJUE). Un troisième dispositif vient d’être accepté par la Commission Européenne : le « Cadre de protection des données personnelles » (Data Privacy Framework).

Patrick Blum, Délégué Général de l’AFCDP (Association française des correspondants à la protection des données personnelles) a commenté : « C’est avec un certain soulagement que les membres de l’AFCDP ont pris connaissance de la décision de la Commission européenne de reconnaître l’adéquation des États-Unis pour les transferts de donnés personnelles, avec le nouveau ‘Cadre de protection des données personnelles’ (Data Privacy Framework). Cette décision est propre à permettre et simplifier les processus qui s’appuient sur de tels transferts. »

Mais les DPO de l’AFCDP ne sont pas dupes : « Noyb, l’association de Max Schrems, a déjà indiqué être prêt pour son nouveau recours devant la Cour de justice de l’Union européenne. » Un tel recours aboutira peut-être à un arrêt Schrems III d’ici deux ans. Logiquement, l’AFCDP appelle à une certaine prudence. Le Parlement Européen a en effet exprimé une certaine hostilité à l’égard de l’accord et le CEPD (la réunion des CNIL européennes, ex-G29) avait émis de nombreuses réserves. Le Data Privacy Framework est donc à la base fragile.

Sur le même sujet

- En attendant Schrems III