Nouvelle décision d’adéquation concernant le transfert de données entre l’Union européenne et les États-Unis
La Commission européenne a adopté une nouvelle décision d’adéquation le 10 juillet 2023 relative au transfert de données personnelles entre l’Union Européenne et les Etats-Unis1.
Contexte
Cette décision intervient dans un contexte particulier aux termes duquel la Cour de Justice de l’Union européenne a invalidé par deux fois les accords passés entre les Etats-Unis et l’Union européenne relatifs à la protection des données personnelles (SAFE HARBOR2 et PRIVACY SHIELD3).
En réponse à ces invalidations, les Etats-Unis ont adopté en octobre dernier une nouvelle législation qui a été soumise à la Commission européenne pour validation.
Dans sa décision du 10 juillet 2023, cette dernière valide le Cadre de protection des données (ou « Data Privacy Framework ») mis en place par les Etats-Unis en considérant qu’il apporte un niveau de protection de données équivalent à celui de l’Union européenne4.
Les entreprises soumises au Règlement Général sur la Protection des Données (RGPD) pourront désormais plus facilement transférer des données personnelles vers des entreprises américaines.
Les conditions posées par le Cadre de protection des données
Pour bénéficier des avantages offerts par le Data Privacy Framework, les entreprises américaines devront respecter plusieurs obligations, telles que par exemple :
la suppression des données lorsqu’elles ne sont plus nécessaires pour la finalité recherchée ;
l’établissement d’un droit d’accès aux données personnelles au profit des personnes concernées leur permettant de s’assurer de leur exactitude, de les corriger, sinon d’exiger leur effacement si elles sont fausses ou ont été collectées en violation des principes de collecte.
La nouvelle législation prévoit en outre un système d’auto-certification par lequel les entreprises américaines s’engagent à respecter les principes posés par le cadre de protection des données et à renouveler annuellement et publiquement leur certification.
L’Agence pour le commerce international, relevant du Ministère américain du commerce, tient à jour une liste d’entreprises se conformant à ce nouveau cadre légal. Plusieurs informations y sont répertoriées pour faciliter les requêtes des consommateurs directement auprès des responsables des traitements.
Les nouvelles garanties apportées aux résidents européens par cette nouvelle législation
Le Cadre de protection des données apporte un niveau de protection plus important au bénéfice des personnes dont les données personnelles sont transférées.
En effet, les citoyens de l’Union européenne bénéficieront désormais de voies de recours contre les entreprises américaines pour s’assurer du respect de leurs droits, grâce à des “mécanismes indépendants de règlement des litiges et d’un panel spécial d’arbitrage”.
Il est également prévu que les services de renseignement américain ne pourront accéder aux données personnelles que si cela est nécessaire et proportionné.
Le transfert de données auprès de sociétés américaines facilité – ce que cette décision change
Dans ce cadre, les entreprises européennes souhaitant transférer des données personnelles vers les entreprises américaines certifiées n’ont désormais plus à prévoir de garanties appropriées exigées par l’article 46 du RGPD, telles que le recours à des clauses, contractuelles types.
Ainsi, avant tout transfert de données aux Etats-Unis, les entreprises européennes devront s’assurer que les sociétés américaines à qui elles transfèrent des données personnelles disposent d’une certification.
Si tel n’est pas le cas, il faudra alors mettre en place des garanties appropriées et notamment avoir recours à des clauses contractuelles types de transfert de données, élaborées par la Commission européenne.
Un accord sous haute surveillance
La Commission européenne surveillera le respect de ce “Privacy Shield 2.0” par les entreprises américaines, tandis que la Commission fédérale du commerce des États-Unis supervisera le cadre de protection.
À peine adopté, des acteurs de l’Union européenne, soucieux de la protection des données à caractère personnel, ont déjà fait part de leur volonté de contester en justice ce nouveau cadre légal, à l’instar de Noyb, organisation à but non lucratif cofondée par l’avocat autrichien Max Schrems5.
Reste à savoir quel sera le sort réservé à ce troisième cadre régissant le transfert des données entre les Etats-Unis et l’Union européenne.
Arthur Burger
Stagiaire juriste
Margaux Maarek
Juriste
(1) https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_3721 et https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
(2 CJUE, 6 octobre 2015, C-362/14, Maximillian Schrems contre Data Protection Commissioner
(3) https://www.cnil.fr/fr/definition/privacy-shield et CJUE, 16 juillet 2020 C-311/18 Facebook Ireland et Schrems
(4) https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision
(5) https://noyb.eu/fr/european-commission-gives-eu-us-data-transfers-third-round-cjeu
