Rawf8 - stock.adobe.com
Data Privacy Framework : les DPO français mitigés sur un cadre « stable », mais très « fragile »
Plus de la moitié des DPO français estiment que le DPF ne règle pas le problème des échanges de données entre les États-Unis et l’Europe. Pour l’AFCDP, la démarche du député Latombe devrait clarifier plus rapidement la conformité de l’accord.
Le « Data Privacy Framework » (DPF) (ou « Trans-Atlantic Data Privacy Framework ») a officiellement été signé le 10 juillet par la Commission européenne pour succéder au Privacy Shield.
Le nouveau système d’échange de données entre les États-Unis et l’Europe avait été plutôt bien accueilli par l’association des DPO (l’AFCP), mais avec beaucoup de précautions.
Le baromètre trimestriel de cette même association confirme que la majorité des DPO sont sur cette ligne. D’un côté, ils se disent « soulagés » d’avoir à nouveau « un cadre stable […] après les mois d’incertitude ». De l’autre, ils anticipent que ce cadre risque de ne pas être si stable que cela.
Les chiffres du Baromètre montrent que 50 % des répondants considèrent que l’accord actuel ne résout pas le problème, et que 33 % le considèrent comme fragile.
Paul-Olivier GibertPrésident de l’AFCDP
« L’AFCDP avait manifesté sa crainte que le DPF ne soit à nouveau l’objet d’une remise en cause, tant sa mise en place a été l’objet de réticences, en particulier de la part des autorités de contrôle, homologues de la CNIL, réunies au sein du CEPD/EDPB, mais aussi du Parlement européen », rappelle Paul-Olivier Gibert, Président de l’AFCDP.
« Si une telle remise en cause était prévisible de la part de Noyb, l’association de Max Schrems, il fallait néanmoins s’attendre à ce qu’elle n’intervienne qu’après un long délai d’analyse […]. La récente démarche de Philippe Latombe permet d’avoir un retour rapide sur la conformité du DPF, et savoir si les organisations vont pouvoir s’appuyer dessus ».
L’AFCDP souligne par ailleurs que contrairement aux autres accords d’adéquation adoptés à l’égard d’États non européens, le DPF ne garantit pas la conformité globale des traitements effectués aux États-Unis. Il ne concerne que les entreprises, et uniquement celles (insiste l’association), qui s’engagent dans la procédure d’auto-certification.