Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation concernant le cadre de protection des données UE-États-Unis (aussi appelé le EU-US Data Protection Framework).
La décision conclut que les États-Unis garantissent un niveau de protection des données à caractère personnel substantiellement équivalent à celui de l'Union européenne, permettant ainsi, sous certaines conditions, le transfert de données à caractère personnel vers les États-Unis.
La décision d'adéquation fait suite à l'invalidation par la Cour de justice de l'Union européenne dans son arrêt Schrems II, le 16 juillet 2020, de la précédente décision d'adéquation (Privacy Shield). Cette invalidation a eu des conséquences pratiques importantes puisqu'elle a entraîné un risque juridique considérable pour les opérateurs privés et publics.
A. Le système d'autocertification des entités américaines
Principe : les transferts de données à caractère personnel vers des entités américaines participantes au cadre de protection des données UE-États-Unis peuvent être librement effectués. Les transferts vers ces entités ne nécessitent donc pas de clauses types de protection des données ni aucune autre garantie.
Condition : les entités américaines participantes doivent s'engager à respecter un ensemble d'obligations en matière de protection des données, similaires aux principes du RGPD (les « Principes »).
Éligibilité : seules les entités américaines soumises aux pouvoirs d'enquête et d'exécution d'un organe statutaire américain compétent qui garantit effectivement le respect des Principes (à ce jour, uniquement la Federal Trade Commission et le Department of Transportation) sont éligibles pour participer au cadre de protection des données UE-États-Unis.
Liste des entités certifiées : la Federal Trade Commission américaine est chargée de traiter les demandes de certification et publie la liste des entités certifiées sur son site internet.
Renouvellement : les entités américaines certifiées doivent confirmer leur adhésion annuellement. Il convient donc de vérifier régulièrement leur inscription sur la liste pour éviter les surprises.
Au cours des prochaines années, la Commission européenne procédera à des réexamens périodiques de la décision d'adéquation afin de vérifier si cette dernière est toujours justifiée d'un point de vue factuel et juridique. Dans l'intervalle, ce nouveau cadre fait déjà l'objet de controverses et même de contestations.
B. Transferts vers des entités américaines qui ne figurent pas sur la liste des entités certifiées
Les transferts de données à caractère personnel vers des entités américaines qui ne participent pas au cadre de protection des données UE-États-Unis et qui à ce titre ne figurent pas sur la liste des entités certifiées nécessitent que d'autres garanties appropriées soient mises en place (règles d'entreprise contraignantes ou plus généralement clauses types de protection des données). À défaut, pour certaines situations particulières limitées, certaines dérogations exceptionnelles peuvent s'appliquer (voy. art. 49 du RGPD).
Il conviendra donc de vérifier avant le transfert puis régulièrement si l'entité américaine destinataire des données à caractère personnel figure sur la liste des entités certifiées en vertu du cadre de protection des données UE-États-Unis, sinon de mettre en place les garanties appropriées ou de vérifier si une dérogation s'applique.
Originally published by Pin Code
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.