La Commission européenne a adopté aujourd’hui sa décision d’adéquation pour le Cadre de confidentialité des données UE-États-Unis. La décision conclut que les États-Unis garantissent un niveau de protection adéquat – comparable à celui de l’Union européenne – pour les données à caractère personnel transférées de l’UE vers des entreprises américaines dans le cadre du nouveau cadre. Sur la base de la nouvelle décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines participant au cadre, sans avoir à mettre en place des garanties supplémentaires en matière de protection des données.
Le cadre UE-États-Unis sur la confidentialité des données introduit de nouvelles garanties contraignantes pour répondre à toutes les préoccupations soulevées par la Cour de justice de l’Union européenne, notamment en limitant l’accès aux données de l’UE par les services de renseignement américains à ce qui est nécessaire et proportionné, et en établissant une Cour de révision de la protection des données (DPRC ), auquel les citoyens de l’UE auront accès. Le nouveau cadre introduit des améliorations significatives par rapport au mécanisme qui existait sous le Privacy Shield. Par exemple, si le DPRC constate que des données ont été collectées en violation des nouvelles garanties, il pourra ordonner la suppression des données. Les nouvelles garanties dans le domaine de l’accès du gouvernement aux données viendront compléter les obligations auxquelles les entreprises américaines important des données de l’UE devront souscrire.
Présidente Ursule von der Leyen a dit:
Les entreprises américaines pourront adhérer au cadre de protection des données UE-États-Unis en s’engageant à respecter un ensemble détaillé d’obligations en matière de confidentialité, par exemple l’obligation de supprimer les données personnelles lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, et assurer la continuité de la protection lorsque des données personnelles sont partagées avec des tiers.
Les citoyens de l’UE bénéficieront de plusieurs voies de recours au cas où leurs données seraient traitées à tort par des entreprises américaines. Cela comprend des mécanismes de règlement des différends indépendants gratuits et un groupe spécial d’arbitrage.
En outre, le cadre juridique américain prévoit un certain nombre de garanties concernant l’accès aux données transféré dans le cadre par les pouvoirs publics américains, notamment à des fins répressives et de sécurité nationale. L’accès aux données est limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale.
Les citoyens de l’UE auront accès à un mécanisme de recours indépendant et impartial concernant la collecte et l’utilisation de leurs données par les agences de renseignement américaines, qui comprend un tribunal de révision de la protection des données (DPRC) nouvellement créé. La Cour enquêtera et réglera les plaintes de manière indépendante, notamment en adoptant des mesures correctives contraignantes.
Les garanties mises en place par les États-Unis faciliteront également les flux de données transatlantiques de manière plus générale, puisqu’elles s’appliquent également lorsque les données sont transférées à l’aide d’autres outils, tels que les clauses contractuelles types et les règles d’entreprise contraignantes.
Prochaines étapes
Le fonctionnement du cadre de confidentialité des données UE-États-Unis fera l’objet d’examens périodiques, qui seront effectués par la Commission européenne, en collaboration avec des représentants des autorités européennes de protection des données et des autorités américaines compétentes.
Le premier examen aura lieu dans l’année suivant l’entrée en vigueur de la décision d’adéquation, afin de vérifier que tous les éléments pertinents ont été pleinement mis en œuvre dans le cadre juridique américain et fonctionnent efficacement dans la pratique.
Arrière-plan
Article 45(3) du règlement général sur la protection des données (RGPD) confère à la Commission le pouvoir de décider, au moyen d’un acte d’exécution, qu’un pays tiers assure «un niveau de protection adéquat» – un niveau de protection des données à caractère personnel qui est essentiellement équivalent au niveau de protection au sein de l’UE. L’effet des décisions d’adéquation est que les données à caractère personnel peuvent circuler librement de l’UE (et de la Norvège, du Liechtenstein et de l’Islande) vers un pays tiers sans autres obstacles.
Après l’invalidation de la précédente décision d’adéquation sur le bouclier de protection des données UE-États-Unis par la Cour de justice de l’UE, la Commission européenne et le gouvernement américain engagé des discussions sur un nouveau cadre traitant des questions soulevées par la Cour.
Dans Mars 2022Président von der Leyen et le président Biden ont annoncé qu’ils étaient parvenus à un accord de principe sur un nouveau cadre pour les flux de données transatlantiques, à la suite de négociations entre le commissaire Reynders et le secrétaire américain Raimondo. Dans Octobre 2022, le président Biden a signé un décret exécutif sur le «renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis», qui a été complété par des réglementations émises par le procureur général américain Garland. Ensemble, ces deux instruments ont mis en œuvre les engagements américains pris dans le cadre de l’accord de principe dans la législation américaine et ont complété les obligations des entreprises américaines en vertu du cadre UE-États-Unis sur la protection des données.
Un élément essentiel du cadre juridique américain consacrant ces garanties est la Décret exécutif sur « Enhancing Safeguards for United States Signals Intelligence Activities », qui répond aux préoccupations soulevées par la Cour de justice de l’Union européenne dans sa décision Schrems II de juillet 2020.
Le Cadre est administré et contrôlé par le Département américain du Commerce. La Federal Trade Commission des États-Unis imposera aux entreprises américaines
conformité.
