You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
Le 10 juillet dernier, la Commission européenne a pris une décision cruciale concernant les transferts de données vers les États-Unis. Cette décision d’adéquation déclare que les États-Unis assurent désormais un niveau de protection des données personnelles substantiellement équivalent à celui de l’Union européenne. Cela signifie que, sous certaines conditions, les transferts de données personnelles depuis l’UE vers les États-Unis peuvent se faire sans exigences supplémentaires.
Pour rappel, la précédente décision d’adéquation pour les États-Unis avait été invalidée en 2020 par la Cour de justice de l’Union européenne dans l’affaire Schrems II. La Cour avait estimé que les protections existantes n’étaient pas suffisantes, notamment en ce qui concerne l’accès des autorités américaines aux données personnelles.
En réponse, le gouvernement américain a renforcé les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement. Ce nouveau cadre a été soumis à l’évaluation de la Commission européenne.
Ce nouveau cadre pour les transferts de données UE-États-Unis repose sur des règles strictes visant à limiter l’accès aux données personnelles par les autorités de renseignement américaines. Il inclut un système d’auto-certification pour les entités américaines qui s’engagent à respecter ces règles.
Avec cette décision d’adéquation, les organismes soumis au RGPD peuvent désormais transférer des données vers des organismes certifiés aux États-Unis sans devoir mettre en place des outils de transfert spécifiques. Cependant, ils doivent s’assurer que l’organisme destinataire figure sur la liste des entités certifiées sur la Liste du Département du Commerce.
Si l’organisme destinataire aux États-Unis n’est pas certifié, des garanties appropriées supplémentaires doivent être mises en place. Cela peut se faire en utilisant des clauses contractuelles types ou d’autres outils prévus par le RGPD.
Les administrations et les collectivités locales peuvent également se baser sur cette décision d’adéquation pour leurs transferts de données vers des prestataires américains certifiés. Cependant, elles doivent respecter les mêmes règles de protection des données qu’explicitées ci-dessus.
La décision d’adéquation est entrée en vigueur le 10 juillet 2023. Elle restera en place jusqu’à ce qu’une modification, un remplacement ou une abrogation soit décidé par la Commission européenne, si le niveau de protection des données n’est plus jugé adéquat. Une première révision aura lieu dans un an, suivie de révisions périodiques.
Cette nouvelle décision d’adéquation ouvre la voie à des transferts de données plus fluides entre l’UE et les États-Unis en légalisant ce contexte transatlantique complexe. Cependant, malgré ces adaptations apportées au système américain de protection des données, beaucoup estiment ces nouvelles mesures inadaptées, permettant aux entreprises de contourner les exigences européennes de protection des données personnelles.
C’est pourquoi plusieurs associations et collectifs de protection des données s’attaquent déjà à cette décision afin de la faire invalider par la Cour de Justice de l’Union Européenne. Affaire à suivre …
Consultez ici le communiqué de presse de la CNIL : Adéquation des États-Unis : les premières questions-réponses
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre