Le 15 mars 2022, la Commission Européenne et les États-Unis (US) ont annoncé qu’ils étaient parvenus à un accord sur un nouveau Cadre Transatlantique de Protection des Données Personnelles. Ce cadre est conçu de manière à réguler les flux de données transatlantiques. Plus précisément, les flux de données entre les États-Unis et l’Europe.
Pourquoi le Cadre Transatlantique de Protection des Données Personnelles a-t-il été créé, et en quoi consiste-t-il exactement ? Lisez la suite et familiarisez-vous avec tous les détails concernant ce nouveau framework mis en place.
Le nouveau cadre est le résultat direct d’une décision prise en juillet 2020 par la Cour de Justice de l’Union Européenne (CJUE). Cette décision concernait le cadre du Privacy Shield, qui offrait la possibilité d’un transfert légal de données personnelles des US vers l’Union Européenne (UE). Il assurait également ensemble solide d’exigences en matière de protection des données.
Il permettait aux entreprises de l’UE de transférer légalement des données personnelles à des entreprises basées aux US. Cependant, le cadre du Privacy Shield n’était pas obligatoire. Autrement dit, seules les entreprises qui étaient volontairement certifiées sous le Privacy Shield devaient respecter ses principes.
En bref, le cadre était trompeur et ne faisait pas correctement son travail. La CJUE a déclaré la décision du Privacy Shield invalide en raison des programmes de surveillance invasifs des US. Ainsi, les transferts de données personnelles basés sur la décision du Privacy Shield sont devenus illégaux.
La réponse de l’UE et des US a été de développer un nouveau cadre qui ferait correctement son travail. En effet, cela est devenu le Cadre Transatlantique de Protection des Données Personnelles. Les objectifs de cet accord sont de renforcer la protection de la vie privée et la protection civile contre les agences de renseignement. De plus, de nouveaux mécanismes de protection individuelle ont été mis en place.
La Commission Européenne a distingué plusieurs principes qui sont centraux dans le nouveau cadre. Voici lesquels :
Le Cadre Transatlantique de Protection des Données Personnelles est le résultat d’une année de négociations entre les US et l’UE. Le cadre se concentre spécifiquement sur les entreprises, avec l’UE déclarant que ce nouveau cadre “favorisera une économie numérique inclusive à laquelle toutes les personnes peuvent participer et dans laquelle les entreprises de toutes tailles de tous nos pays peuvent prospérer”.
Ainsi, le cadre de protection des données est un mécanisme pour les entreprises. Pensez, par exemple, aux plateformes de médias sociaux. Il leur permet de transférer des données d’individus entre les centres de données aux US et en UE. Alors que l’UE affirme que le GDPR protège le droit de ses citoyens à la protection des données, les US n’avaient pas de telle loi nationale. Ainsi, même si le droit à la vie privée fait partie de la constitution des US, la vie privée en ligne n’est pas couverte par ces lois.
Pour ces raisons, un cadre de conformité pour le partage de données était jugé nécessaire. Ce qui est assez remarquable, c’est que le cadre parle presque exclusivement de la valeur économique qu’il a pour les entreprises. Si la loi censée protéger la vie privée individuelle est rédigée en pensant au marché, peut-elle encore protéger l’individu ?
Malheureusement, il semble que ce ne soit pas le cas. Des scientifiques soutiennent qu’il est presque impossible pour les mécanismes de marché de résoudre des problèmes tels que la détermination du niveau optimal de protection de la vie privée pour la société et comment éviter une perte excessive de la vie privée.
C’est en effet pas une bonne base de départ. De plus, le nouveau cadre semble largement suivre les principes énoncés dans la loi européenne RGPD. Il y a déjà pas mal de critiques sur cette loi, par exemple que la loi n’est pas assez restrictive et claire.
Une autre critique à l’égard de la législation RGPD est qu’elle est déjà quelque peu dépassée. L’instrument juridique du RGPD est un pas vers un contrôle plus individuel. Pourtant, certaines menaces pour le contrôle individuel restent ancrées dans la législation. Cela a principalement à voir avec le fait qu’en fin de compte, la personne de l’autre côté est responsable de la protection de vos données personnelles. La confiance est donc un facteur important, mais malheureusement, la confiance est souvent rompue. Surtout lorsque l’incitation financière est en jeu.
En somme, il semble que le Cadre Transatlantique de Protection des Données Personnelles ait été développé sur la base de principes déjà dépassés. Certes, ils ont été quelque peu mis à jour. Mais la combinaison de principes dépassés et de mécanismes de marché ne fournit pas un argument très convaincant pour la protection réelle de la vie privée en ligne des individus.
Sans parler du fait que l’ancien cadre du Privacy Shield a également été jugé insuffisant. Il manque beaucoup d’informations sur la manière dont les lacunes de l’ancien cadre ont été abordées dans le développement de ce nouveau cadre. En fait, il ne semble pas que ces problèmes aient été surmontés.
Pour être sûr que vos données sont protégées, vous aurez besoin de mesures supplémentaires. En tant qu’individu, mais surtout en tant qu’employeur ou entreprise. Pour être sûr que vos données ne seront pas stockées et partagées, utilisez des bloqueurs de données, assurez-vous de couvrir votre webcam, jetez un œil à ces cinq manières de protéger votre vie privée en ligne, ou consultez d’autres mesures de protection de la vie privée qui peuvent être prises ici.
