La décision d'adéquation sur le transfert des données de l'Union européenne vers les Etats-Unis

Depuis la décision d’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne le 16 juillet 2020, le transfert de données des Etats membres de l’Union européenne vers les Etats-Unis n’était plus possible.

L’unique possibilité de transfert consiste à garantir que le pays concerné offre un niveau de protection suffisant pour que les données ne soient pas compromises.

Néanmoins, le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation en faveur des Etats-Unis.

Cette décision permet de transférer les données conformément aux dispositions du Règlement Général de Protection des Données Personnelles, sans encadrement spécifique ou autre instrument de transfert.

Récemment, les Etats-Unis ont fait plusieurs modifications législatives pour assurer un niveau de protection plus important concernant les données transférées outre-atlantique.

Plus particulièrement, ces modifications rendent plus difficile l’accès des données par les autorités américaines.

C'est pourquoi, la Commission a considéré que de telles modifications assurent un niveau de protection adéquat.

Toutefois, les organisations américaines destinataires desdites données devront s’engager à respecter les principes énoncés et listés sur le site du Département du Commerce des Etats-Unis.

Cependant, cet décision d’adéquation concerne uniquement certaines organisations américaines qui sont indiquées sur une liste gérée et publiée par le ministère américain du commerce.

La décision d'adéquation prise par la Commission avec les Etats-Unis permet aux entités européennes de transférer les données à caractère personnel à certaines entreprises américaines, sans avoir à mettre en place des garanties supplémentaires en matière de protection des données.

Par ailleurs, ce cadre implique des voies de recours en cas de traitement incorrect des données, notamment des mécanismes indépendants et gratuit de résolution des litiges ainsi qu’un groupe d’arbitrage.

Lors de la certification de leur participation à ladite décision d’adéquation, les entreprises américaines s’engagent à respecter un ensemble détaillé d’obligations en matière de protection de la vie privée.

Lesdites obligations concernent la limite de la finalité, la minimisation et la conservation des données ou encore des obligations spécifiques concernant la sécurité des données et le partage des données avec des tiers.

L’encadrement de la décision sera administré par le ministère américain du commerce. Ce dernier sera alors en charge de traiter les demandes de certification et vérifier que les entreprises participantes continuent de satisfaire aux exigences de certification.

Le Président Biden a signé le 7 octobre 2022 un décret intitulé « Enhancing Safeguards for United States Signals Intelligence Activities ».

Ce décret prévoit, pour les européens dont les données à caractère personnel sont transférées aux Etats-Unis :

• Des garanties contraignantes qui limitent l’accès aux données par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;

• Un contrôle renforcé des activités des services de renseignement américains afin de garantir le respect des limites imposées aux activités de surveillance ; et

• La mise en place d’un mécanisme de recours indépendant et impartial, qui comprend une nouvelle Cour d’examen de la protection des données, chargée d’examiner et de résoudre les plaintes concernant l’accès à leurs données par les autorités américaines chargées de la sécurité nationale.

Désormais, les transferts de données personnelles depuis l’Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans mise en place des « clauses contractuelles types » ou autre instrument de transfert.

Ainsi, si votre société procède à un tel transfert de données vers les Etats-Unis, l’analyse d’une telle décision est primordial afin d’ajuster l’encadrement dudit transfert.

La Commission européenne suivra en permanence l’évolution de la situation aux Etats-Unis et réexaminera régulièrement la décision d’adéquation.

Le premier examen aura lieu dans l’année qui suit l’entrée en vigueur de la décision d’adéquation.