Le Data Pricavy Framework est un accord-cadre, une décision d’adéquation qui fixe le cadre du transfert des données personnelles entre les Etats-Unis et l’Europe.
L’accord succède aux textes précédents Safe Harbor et Privacy Shield invalidés par la Cour de justice de l’UE après la saisine de l’avocat autrichien Max Schrems
Le 10 juillet 2023, la Commission européenne a rendu une nouvelle décision d’adéquation concernant le transfert de données personnelles vers les États-Unis.
Cette décision pourrait être invalidée dans le futur.
Pour l’instant il a levé toutes les contraintes imposées depuis 2020 et l’arrêt Schrems 2, ce qui permet désormais de continuer à transférer les données des utilisateurs par le biais de Google Analytics 4 et solutions commerciales équivalentes vers les États-Unis.
Quel changement avec le DPF Data Privacy Framework?
- Les boutons « Accepter » et « Refuser » dans le bannière ou la fenêtre contextuelle du CMP doivent être présentés de manière équivalente, sans exercer d’influence ou d’incitation sur l’utilisateur afin qu’il clique davantage sur l’un plutôt que sur l’autre.
- Les personnes qui choisissent de refuser d’être traquées doivent bénéficier d’une anonymisation de leurs données par le biais d’une CMP.
- Les données collectées ne doivent être conservées que pendant une durée maximale de 13 mois.
- Les données relatives à la première visite d’un utilisateur doivent être effacées au bout de 13 mois, même si cet utilisateur est revenu par la suite.
- L’obligation d’information doit fournir une explication détaillée sur les données collectées, ainsi que les finalités de leur traitement.