En adoptant une nouvelle décision d’adéquation le 10 juillet 2023, la Commission européenne est entrée dans l’histoire et a renforcé la connectivité numérique entre l’Europe et les États-Unis. En reconnaissant que les États-Unis offrent un degré de protection des données essentiellement similaire à celui de l’Union européenne, cette décision permet de transférer facilement des données à caractère personnel dans certaines circonstances. Examinons l’importance de ce choix, les raisons pour lesquelles il était nécessaire et les éléments essentiels qui définissent cet environnement en pleine mutation.
Comprendre le principe d’une décision d’adéquation
L’article 45 du règlement général sur la protection des données (RGPD) prévoit une méthode instrumentale par laquelle la Commission européenne évalue si un pays tiers ou une organisation internationale offre un degré suffisant de protection des données à caractère personnel : la « décision d’adéquation« . La Commission détermine si les normes de protection des données du pays tiers sont appropriées en examinant un certain nombre de variables, notamment la législation locale, les autorités indépendantes de protection des données et les accords internationaux.
Le résultat d’une décision d’adéquation facilite les transferts de données, en permettant aux entreprises qui se conforment au RGPD de le faire sans contraintes ni obstacles supplémentaires. Ce choix préserve le droit à la vie privée des personnes tout en favorisant un flux de données harmonieux.
Une nouvelle décision d’adéquation après Schrems II
Une nouvelle décision d’adéquation est nécessaire à la suite de l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020. En effet, la CJUE a invalidé la précédente décision d’adéquation du bouclier de protection de la vie privée en raison de préoccupations liées aux lois de surveillance américaines et à l’insuffisance des protections pour les personnes concernées de l’UE. La Charte européenne des droits fondamentaux protège un certain nombre de droits fondamentaux, que la Cour a jugé violés par ces pratiques.
En réponse, les États-Unis ont amélioré les normes de protection des données en y apportant des changements substantiels. L’ordre exécutif 14086, qui visait à renforcer la sécurité des données personnelles traitées par les services de renseignement américains, a été signé par le président Joe Biden le 7 octobre 2022. Ce décret présidentiel a servi de base à un nouveau cadre transatlantique de protection des données que la Commission européenne a évalué.
Sur quoi est fondé ce nouveau cadre de transfert de données?
Le cadre transatlantique novateur de protection des données introduit des lignes directrices strictes et des garanties juridiquement contraignantes pour limiter l’accès des services de renseignement américains aux données à caractère personnel et veiller à ce qu’elles ne soient utilisées qu’à des fins de maintien de la sécurité nationale.
Comme pour l’ancien Privacy Shield, les entreprises américaines sont tenues de participer au système d’autocertification, qui garantit la conformité aux principes du cadre. Les organisations soumises au RGPD peuvent transmettre des données personnelles à des entreprises certifiées sans avoir besoin de procédures de transfert spéciales ou d’exceptions.
Aussi, le décret présidentiel 14086, établit une Cour de contrôle de la protection des données en tant que mécanisme de recours indépendant et impartial et met l’accent sur les normes de nécessité et de proportionnalité dans l’accès des agences de renseignement américaines aux données à caractère personnel.
Renforcer les transferts de données vers des entités approuvées
La nouvelle décision d’adéquation est entrée en vigueur, permettant aux entreprises réglementées par le RGPD de transférer facilement des données personnelles à des entités américaines approuvées. Avant de commencer le transfert, il est toujours essentiel de s’assurer que l’organisation destinataire figure sur la liste rendue publique par le Département de Commerce américain.
Néanmoins, les organisations doivent continuer à respecter les autres exigences du RGPD, telles que la mise à jour des registres de traitement des données et l’information des personnes concernées sur les transferts de données vers les États-Unis, même lorsque la décision d’adéquation autorise les transferts de données.
En conclusion, l’adoption de la nouvelle décision d’adéquation par la Commission européenne marque un tournant décisif dans les liens entre l’Europe et les États-Unis en matière de protection des données. Les États-Unis ont activement amélioré leurs garanties en matière de confidentialité des données en réponse au verdict Schrems II, qui va au-delà de la simple rationalisation des flux de données transfrontaliers. Ce nouveau cadre transatlantique renforce la confiance et la collaboration internationales dans la sphère numérique en créant un précédent pour la protection des données au niveau mondial. Pensez-vous que cette décision, marquant un soulagement pour les grandes entreprises technologiques, va pouvoir durer longtemps?
Pour en savoir plus :
- https://www.cnil.fr/fr/adequation-des-etats-unis-les-premieres-questions-reponses