Nouvel accord USA et UE sur le transfert de données personnelles !
Publié le 18.07.2023
Nouveauté sur le transfert de données personnelles vers les Etats-Unis : adoption d’une nouvelle décision d’adéquation avec l'Union Européenne qui protège les données personnelles et va impacter nos organisations d'intérêt général !
La Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d’adéquation concernant les Etats-Unis. Depuis cette date, un nouveau cadre transatlantique de protection des données s’applique et permet aux responsables de traitement et sous-traitants européens de transférer librement des données à caractère personnel vers des entreprises certifiées situées aux Etats-Unis.
Les Etats-Unis garantissent un niveau de protection des données équivalent à celui de l’UE
Le règlement général sur la protection des données (RGPD) prévoit que les transferts de données vers un pays tiers à l’Union européenne (UE) peuvent s’effectuer librement dès lors qu’une décision dite d’adéquation a été prise par la Commission européenne concernant ce pays.
Afin de déterminer si un pays tiers offre un niveau de protection suffisant, la Commission s’appuie sur un certain nombre d’éléments, tels que la législation interne du pays (respect des libertés fondamentales, accès des autorités publiques aux données personnelles…) et l’existence d’une ou de plusieurs autorités de contrôle indépendantes en matière de protection des données (cf. article 45 du RGPD).
Au regard des récentes évolutions de la règlementation américaine, la Commission estime que le niveau de protection des données garanti par les Etats-Unis est adéquat, c’est-à-dire équivalent à celui de l’UE. Selon la Commission, les mesures adoptées par les Etats-Unis sont suffisantes et permettent de répondre aux préoccupations de la Cour de justice de l’Union européenne (CJUE) qui avaient conduit celle-ci à invalider la précédente décision d’adéquation (cf. affaire Schrems II du 16 juillet 2020).
En effet, l’Executive Order 14086, signé par le président Joe Biden le 7 octobre 2022, est notamment venu encadrer la possibilité pour les services de renseignement américains d’accéder à des données à caractère personnel :
- Seules les données nécessaires à la protection de la sécurité nationale peuvent désormais être collectées par ces services, et ce, dans le respect du principe de proportionnalité.
- Les citoyens européens ont accès à un mécanisme de recours indépendant et impartial grâce à la création d’une juridiction spécifique (Data Protection Review Court) qui traitera des litiges en lien avec la collecte et l’utilisation des données personnelles par les services de renseignement américains.
Notons cependant que des réserves quant à l’adoption de cette décision d’adéquation avaient été émises par le Comité européen à la protection des données (CEPD) et la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen. Ces entités estimaient que, malgré les améliorations apportées en octobre dernier, des points de vigilance préoccupants demeuraient (cf. notre article).
Une libre circulation des données encadrée par un mécanisme de certification par l’accord USA et UE
Une décision d’adéquation a pour effet de permettre le transfert de données personnelles vers un pays tiers à l’UE sans qu’aucune autre mesure de protection ne soit nécessaire (clauses contractuelles types, règles d’entreprise contraignantes…).
S’agissant des Etats-Unis, la libre circulation des données est cependant limitée et ne s’applique qu’aux transferts à destination d’organismes certifiés.
Il est en effet prévu un système d’auto-certification permettant aux organismes américains d’adhérer publiquement, chaque année, à ce nouveau cadre transatlantique de protection des données. Ils s’engagent ainsi à respecter un certain nombre d’obligations, telles que :
- L’obligation de supprimer les données personnelles qui ne sont plus nécessaires au regard de la finalité du traitement.
- L’obligation de garantir la continuité de la protection des données personnelles lorsque celles-ci sont partagées avec des tiers.
La liste des organismes certifiés est gérée par le Département du commerce des Etats-Unis (disponible ici).
Ainsi, seuls les transferts de données personnelles vers les organismes figurant sur cette liste peuvent s’effectuer librement. Si le destinataire des données n’est pas certifié, des garanties supplémentaires appropriées doivent être mises en place par la personne à l’origine du transfert.
Attention, les responsables de traitement et sous-traitants restent soumis à une obligation de transparence et d’information et doivent, à ce titre, informer les personnes concernées du transfert de leurs données vers les Etats-Unis.
Un nouveau cadre soumis à une procédure de réexamens périodiques
Afin de s’assurer que les outils de protection prévus ont été pleinement mis en œuvre et garantissent effectivement un niveau de protection adéquat, la décision d’adéquation sera réexaminée régulièrement par la Commission européenne. Un premier bilan interviendra en 2024.
Références sur cet accord USA et UE :
- Décision d’exécution de la Commission constatant le niveau de protection adéquat des données personnelles assurée par les États-Unis – Commission européenne
- Communiqué de presse de la Commission européenne
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
 |
Anouk MARCHALAND Collaboratrice juridique |
Pour suivre les actualités juridiques et fiscales du secteur, rendez-vous ici et abonnez-vous à notre newsletter ici.
