La Commission européenne juge adéquat le niveau de protection des données personnelles américain

Le 10 juillet 2023, la Commission de l’Union européenne a déclaré que les Etats-Unis offraient une protection adéquate des données personnelles de sorte que le transfert des données européennes vers les organismes américains listés soit possible sans avoir recours aux clauses contractuelles types.  

Le 7 octobre 2022, Joe Biden a signé un décret encadrant les transferts de données personnelles entre les Etats-Unis et l’Europe. Ce texte s’inscrit dans la lignée du Safe Harbor Act et du Privacy Shield, tous deux annulés par la CJUE lors des arrêts Shrems I et Shrems II. Dans ces deux arrêts, la Cour jugeait que la soumission des entreprises américaines à l’obligation de transférer les données des utilisateurs de l’Union aux services de renseignement américains portait atteinte aux principes de protection de la vie privée.  

En réaction à cela, le décret prévoit trois garanties que ne prévoyaient pas les deux textes précédents :  

– La collecte de données étrangères par un service de renseignement américain ne pourra être menée « qu’en vue de la réalisation d’objectifs de sécurité nationale définis ».  

– Les services de renseignements américains ont l’obligation de rendre conforme aux nouvelles mesures de protection de la vie privée leurs de procédures de collecte des données personnelles. 

– Les personnes concernées auront la possibilité de signaler une violation du décret auprès de l’officier de protection des libertés civiles américain. La décision de l’officier est contrôlée par le procureur général qui établit une cour d’appel à la demande du plaignant.  

Pour être effectif, ce texte devait au préalable être soumis au vote et faire l’objet d’une décision d’adéquation de la part de la Commission européenne conformément à l’article 45 du RGPD qui établit qu’un pays tiers ou une organisation internationale assure un niveau de protection adéquat.   

Le 28 février 2023, le Comité européen à la protection des données (CEPD) a relevé les améliorations apportées par le texte mais a indiqué que des préoccupations subsistaient.  

Par une décision du 10 juillet 2023, la Commission a décidé que les modifications apportées par les Etats-Unis à leur législation nationale permettent d’assurer un niveau de protection adéquat des données personnelles transférées depuis l’Union européenne.  

Les organismes respectant ce nouveau cadre de protection sont listés et le transfert de données depuis l’Union européenne vers ces derniers peut s’effectuer librement sans être encadré par des clauses contractuelles types.  

Ainsi, le responsable de traitement et les sous-traitants doivent s’assurer que l’organisme destinataire figure sur cette liste mise à disposition sur le site du Département du Commerce des Etats-Unis.  

Pour en savoir plus :  

– Le communiqué de la Commission européenne relatif à la décision du 10 juillet.  

– L’avis du CEPD relatif au nouveau décret signé le 7 octobre 2022.