Le 10 juillet 2023, la Commission européenne a fait une annonce significative en adoptant sa décision d’adéquation sur le cadre transatlantique pour la protection des données (DPF).
Cette décision signifie que les États-Unis sont à nouveau reconnus comme assurant un niveau de protection adéquat à l’Union européenne (UE). Par conséquent, les données personnelles peuvent désormais circuler librement de l’UE vers les entreprises autocertifiées américaines sans avoir besoin de garanties supplémentaires.
Cet article entrera dans les détails de la décision et soulignera les principales révisions apportées au Bouclier de protection des données invalidé.
Cadre transatlantique pour la protection des données: le contexte
- Juillet 2000: La Commission européenne a adopté la décision sur le caractère adéquat de la protection offerte par les principes de la Sphère de sécurité en matière de vie privée.
- Octobre 2015: La Sphère de sécurité a été invalidée à la suite de la première décision Schrems.
- Juillet 2016: La Commission européenne a adopté la décision sur l’adéquation de la protection fournie par le Bouclier de protection des données UE-États-Unis.
- Juillet 2020: La Cour de justice de l’Union européenne (CJUE) a déclaré le Bouclier de protection des données UE-États-Unis incompatible avec RGPD et, par conséquent, non valide.
- Mars 2022: La présidente von der Leyen et le président Biden sont parvenus à un accord de principe sur un nouveau Cadre transatlantique pour la protection des données.
- Octobre 2022: Le président Joe Biden a signé le décret 14086 sur le renforcement des garanties applicables aux activités de renseignement d’origine électromagnétique menées par les États-Unis.
- Décembre 2022: La Commission européenne a adopté son projet de décision relative à l’adéquation du cadre transatlantique pour la protection des données.
- Février 2023: Le Comité européen de la protection des données adopte son avis sur le projet de décision d’adéquation.
- Mai 2023: Une résolution non contraignante du Parlement européen a été adoptée.
- Juillet 2023: Presque tous les représentants des États membres approuvent le projet de décision d’adéquation.
- Juillet 2023: La Commission européenne a formellement adopté sa décision d’adéquation concernant le cadre transatlantique pour la protection des données.
Cadre transatlantique pour la protection des données (DPF)
Le DPF UE-États-Unis marque une étape cruciale vers le rétablissement de la confiance dans les transferts transatlantiques de données.
Après l’arrêt Schrems II de la CJUE, le précédent cadre (le Bouclier de protection des données) avait été invalidé en raison d’inquiétudes sur l’accès aux données par les agences de renseignement américaines.
Le nouveau cadre répond à ces préoccupations par plusieurs révisions notables :
1. Accès nécessaire et proportionné aux données
Dans le cadre du DPF UE-États-Unis, l’accès aux données par les agences de renseignement américaines est désormais limité à ce qui est jugé « nécessaire et proportionné. »
Cette disposition garantit que le transfert de données respecte des normes strictes en matière de protection de la vie privée tout en conciliant les intérêts légitimes de sécurité nationale.
2. Mécanisme de recours à deux niveaux
Pour renforcer la responsabilisation et protéger les droits des citoyens de l’UE, un nouveau mécanisme de recours à deux niveaux a été mis en place.
- Le premier niveau se compose d’un responsable de la protection des libertés civiles (CLPO) de la communauté du renseignement américaine, qui enquête de manière indépendante et objective sur les plaintes soumises par des individus de l’UE, gratuitement et dans leur propre langue, directement auprès des autorités de protection des données de leur pays. Ces plaintes sont ensuite transmises par le Comité européen de la protection des données aux États-Unis.
- Le deuxième niveau comprend la Cour chargée du contrôle de la protection des données (DPRC), qui agit comme une autorité indépendante et contraignante. La DPRC entend les appels contre les décisions du CLPO. Fait important, les membres de la DPRC possèdent des qualifications spécifiques et opèrent en dehors de l’influence ou des instructions du gouvernement américain, garantissant impartialité et équité.
3. Autonomiser les individus de l’UE
La décision d’adéquation accorde aux personnes de l’UE dont les données ont été transférées à des entreprises américaines autocertifiées plusieurs droits importants. Ces droits comprennent la possibilité :
- accéder à leurs données ;
- demander des corrections;
- supprimer les données incorrectes ou manipulées illégalement, et
- accéder à des voies de recours grâce à un mécanisme indépendant gratuit de règlement des litiges et à un comité d’arbitrage.
4. Applicabilité élargie et garanties
Les garanties fournies par le gouvernement américain dans le cadre du DPF UE-États-Unis vont au-delà des données transférées via ce cadre spécifique. Elles s’appliquent également aux données transférées via d’autres mécanismes, tels que:
- les clauses contractuelles types; ou
- Règles d’entreprise contraignantes
Cette application plus large garantit un niveau cohérent de protection des données pour les personnes de l’UE, quel que soit le mécanisme de transfert spécifique utilisé.
5. Examens périodiques et contrôle continu de conformité
Pour assurer une conformité et une efficacité constantes, le DPF UE-États-Unis sera concerné par des examens périodiques.
Le premier examen devrait avoir lieu dans l’année suivant l’entrée en vigueur du cadre. La Commission européenne suivra en permanence l’évolution de la situation aux États-Unis pour s’assurer que les garanties établies sont maintenues.
Que dois-tu faire maintenant ?
À l’heure actuelle, aucune mesure immédiate n’est nécessaire. Nous devons attendre que les entreprises américaines terminent le processus d’autocertification pour que les flux de données puissent commencer.
L’adoption du cadre transatlantique pour la protection des données par la Commission européenne représente une étape importante dans la protection des données échangées entre l’UE et les États-Unis. Avec la décision d’adéquation en place, le flux de données personnelles de l’UE vers les entreprises américaines peut reprendre sans garanties supplémentaires, à condition qu’elles participent au DPF UE-États-Unis.
Vous utilisez Google Analytics ou tout service concerné ? Pensez à les inclure dans votre politique de confidentialité.
Mettez à jour votre avis de confidentialité.
