TRANSFERT DE DONNEES PERSONNELLES VERS LES ÉTATS-UNIS
Le 10 juillet 2023, la Commission européenne constatant que les États-Unis assurent désormais un niveau de protection substantiellement équivalent à celui de l’UE, a adopté une décision d'adéquation concernant le cadre de protection des données UE - États-Unis.
Avant de vous présenter le nouveau cadre, revenons sur le contexte.
Pour mémoire, l’invalidation de mécanismes tentant d’encadrer le transfert des données des citoyens européens vers les États-Unis est une histoire ancienne.
En effet, d’abord en octobre 2015, un certain Max Schrems avait obtenu l’annulation, par la Cour de justice de l'Union européenne, de l’accord baptisé Safe Harbor.Safe Harbor.
Le 1er août 2016 était alors entré en vigueur le Privacy Shield, mécanisme d'auto-certification pour les sociétés établies aux Etats-Unis d'Amérique. Ce dispositif avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne vers des sociétés établies aux États-Unis.
Toutefois, le 16 juillet 2020 la Cour de Justice de l'Union Européenne avait annulé un tel dispositif estimant qu’il ne constituait pas une garantie juridique suffisante pour transmettre des données personnelles de l'Union européenne vers les États-Unis conformément aux dispositions du RGPD (voir Arrêt Arrêt SCHREMS II).
En réaction à une telle invalidation, le président des États-Unis, Joe Biden, avait adopté le 7 octobre 2022, un décret présidentiel destiné à renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains en
- Consacrant les principes de nécessité et de proportionnalité dans le cadre de l’accès des autorités étatsuniennes aux données, et
- Introduisant un nouveau mécanisme de recours indépendant et impartial auprès d’une Cour de contrôle de la protection des données (Data Protection Review Court - DPRC).
Ce nouveau cadre a été soumis à la Commission européenne afin qu’elle évalue s’il permet d’assurer un niveau de protection adéquat des données des citoyens européens.
Avant d’adopter définitivement sa décision reconnaissant le caractère adéquat de ce nouveau dispositif, la Commission européenne avait soumis le 13 décembre 2022 un projet de décision pour avis au CEPD (Comité européen de la protection des données, organe qui regroupe au niveau européen l’ensemble des autorités de protection des données).
Le 28 février 2023, le CEPD a rendu son avis dans lequel il relève des améliorations apportées par le gouvernement des États-Unis, tout en faisant part de ses préoccupations sur un certain nombre de points.
Le 10 juillet 2023, la Commission européenne constatant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’UE a adopté une décision d'adéquation concernant le cadre de protection des données UE - États-Unis.
Ainsi désormais, les organismes soumis au RGPD peuvent à nouveau transférer des données personnelles vers les organismes certifiés qui se sont engagés, annuellement et publiquement, à adhérer à ce cadre légal. Toutefois, avant de procéder au transfert, les organismes doivent s’assurer que le destinataire des données figure sur la liste mise à disposition sur le site du Département du Commerce des États-Unis.
Les entreprises américaines pourront ainsi adhérer officiellement audit cadre en s'engageant à respecter un ensemble détaillé d'obligations en matière de protection de la vie privée.
Le fonctionnement du cadre de protection des données UE - États-Unis fera l'objet d'examens périodiques par la Commission européenne, en collaboration avec des représentants des autorités européennes chargées de la protection des données et des autorités américaines compétentes.
Me Sophie LALANDE reste disponible pour étudier votre organisation et vous assurer d’un traitement conforme au RGPD