01 Août Transfert de données personnelles vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation
Transfert de données personnelles vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation
Par une décision du 10 juillet 2023, la Commission européenne constate que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne.
Ainsi, la Commission décide que les modifications apportées par les États-Unis à leur législation nationale permettent désormais d’assurer un niveau de protection adéquat des données personnelles transférées de l’UE vers les organisations situées aux États-Unis lorsqu’ils font la démarche de respecter ce nouveau « cadre de protection des données ». La liste de ces organismes est gérée et sera prochainement rendue publique par le ministère américain du commerce.
Les transferts de données personnelles depuis l’Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert.
Cette décision fait suite à l’invalidation par la Cour de justice de l’Union européenne de la précédente décision d’adéquation (Privacy Shield).
Qu’est-ce qu’une décision d’adéquation ?
Une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui établit qu’un pays tiers (c’est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données personnelles.
Le RGPD (article 45.2) prévoit une liste non exhaustive d’éléments qui, cumulés, permettent à la Commission d’évaluer le caractère adéquat du niveau de protection des données du pays tiers. Ces éléments incluent notamment la législation interne du pays, l’existence d’une ou de plusieurs autorités de contrôle indépendantes en matière de protection des données et les engagements internationaux pris par le pays.
Quelles conséquences pour les administrations et les collectivités locales dans le cadre de transferts liés à l’utilisation de prestataires états-uniens ?
Une administration ou une collectivité locale qui souhaiterait recourir aux services d’un prestataire états-unien inscrit sur la liste des entités auto-certifiées du Département du Commerce peut se baser sur cette décision d’adéquation pour ses transferts vers son prestataire.
Néanmoins, seuls les transferts vers les entités américaines certifiées ne nécessitent pas l’utilisation d’outils d’encadrement des transferts prévus par l’article 46 du RGPD. Pour les transferts de données vers d’autres entités que celles certifiées, des garanties appropriées doivent être fournies à travers un des instruments listés à l’article 46 du RGPD et ces transferts ne sont possibles qu’à condition de garantir des droits opposables aux personnes concernées ainsi que des voies de recours effectives.