accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Transfert de données UE-USA : la Commission européenne adopte sa nouvelle décision d'adéquation

Travaux préparatoires
Comm. UE, communiqué IP/23/3721, 10 juill. 2023
[11.07.2023]

La Commission européenne a adopté hier sa décision d'adéquation concernant le cadre de protection des données UE - États-Unis. La décision conclut que les États-Unis garantissent un niveau de protection adéquat – comparable à celui de l'Union européenne – pour les données à caractère personnel transférées de l'UE vers des entreprises américaines au titre du nouveau cadre. Sur la base de la nouvelle décision d'adéquation, les données à caractère personnel devraient pouvoir circuler en toute sécurité de l'UE vers des entreprises américaines participant au cadre, sans qu'il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données. La décision d'adéquation est entrée en vigueur avec son adoption le 10 juillet.

C'est la fin d'un « feuilleton » qui aura tenu les juristes en haleine quasiment depuis l'entrée en vigueur du RGPD. Alors qu'en mars 2022, la présidente von der Leyen et le président Biden avaient annoncé qu'ils étaient enfin parvenus à un accord de principe sur un nouveau cadre pour les flux de données transatlantiques, la Commission a présenté son projet de décision d'adéquation en décembre 2022 (V. Transfert de données UE-USA : la Commission européenne présente son projet de décision ).

Le cadre de protection des données UE - États-Unis introduit de nouvelles garanties contraignantes pour répondre à toutes les préoccupations soulevées par la Cour de justice de l'Union européenne, notamment en limitant l'accès des services de renseignement américains aux données de l'UE à ce qui est nécessaire et proportionné, et en instituant une Cour chargée du contrôle de la protection des données (Data Protection Review Court - DPRC), à laquelle les citoyens de l'Union auront accès. Le nouveau cadre apporte d'importantes améliorations par rapport au mécanisme qui existait dans le cadre du bouclier de protection des données. Par exemple, si la DPRC constate que des données ont été collectées en violation des nouvelles garanties, elle sera en mesure d'ordonner la suppression des données. Les nouvelles garanties dans le domaine de l'accès des pouvoirs publics aux données compléteront les obligations auxquelles les entreprises américaines qui importent des données en provenance de l'UE devront souscrire.

Plus précisément, cette décision prévoit que :

  • les entreprises américaines pourront adhérer au cadre de protection des données UE - États-Unis en s'engageant à respecter un ensemble détaillé d'obligations en matière de protection de la vie privée, comme par exemple l'obligation de supprimer les données à caractère personnel lorsqu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, et d'assurer la continuité de la protection lorsque des données à caractère personnel sont partagées avec des tiers ;

  • les citoyens de l'UE bénéficieront de plusieurs voies de recours en cas de traitement incorrect de leurs données par des entreprises américaines. Il s'agit notamment de mécanismes indépendants de règlement des litiges et d'un panel spécial d'arbitrage ;

  • les citoyens de l'UE auront accès à un mécanisme de recours indépendant et impartial en ce qui concerne la collecte et l'utilisation de leurs données par les services de renseignement américains, qui comprend une Cour d'examen de la protection des données nouvellement créée. La Cour examinera et tranchera les réclamations de manière indépendante, y compris en adoptant des mesures correctives contraignantes.

Les garanties mises en place par les États-Unis devraient faciliter également, de manière plus générale, les flux de données transatlantiques, étant donné qu'elles s'appliquent également lorsque les données sont transférées au moyen d'autres outils, tels que des clauses contractuelles types et des règles d'entreprise contraignantes.

Par ailleurs, le cadre juridique américain prévoit un certain nombre de garanties en ce qui concerne l'accès des pouvoirs publics des États-Unis aux données transférées au titre du cadre, en particulier à des fins d'application du droit pénal et de sécurité nationale. L'accès aux données est limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale.

Prochaines étapes. - Le fonctionnement du cadre de protection des données UE - États-Unis fera l'objet d'examens périodiques à effectuer par la Commission européenne, en collaboration avec des représentants des autorités européennes chargées de la protection des données et des autorités américaines compétentes. Le premier examen aura lieu dans un délai d'un an après l'entrée en vigueur de la décision d'adéquation, afin de vérifier que tous les éléments pertinents ont été pleinement mis en œuvre dans le cadre juridique américain et fonctionnent efficacement dans la pratique.

Consulter le Questions/réponses de la Commission.