La commission de l’UE a adopté ce 10 juillet une décision d’adéquation du nouveau EU-US Data Privacy Framework [1]. Les transferts de données peuvent désormais être effectués librement vers les organisations qui ont souscrit à ce nouveau cadre de protection des données. Une liste de ces organismes sera communiquée ultérieurement par le ministère du commerce américain [2]. Cette décision intervient après l’adoption le 3 juillet par le renseignement américain de nouvelles procédures en matière de traitement des données découlant de la signature d’un accord de principe entre l’Union européenne et les Etats-Unis en mars 2022 suivi de la signature d’un décret par le président américain Joe Biden le 7 octobre 2022.
L’adoption de cette décision d’adéquation vient faciliter les transferts de données vers les Etats-Unis. Depuis la décision d’invalidation du Privacy shield intervenue le 16 juillet 2020, les transferts de données vers les Etats-Unis étaient encadrés par la mise en œuvre d’un instrument de transfert au sens du Chapitre V du RGPD tel que les clauses contractuelles types rédigées par la Commission européenne et par des mesures supplémentaires de protection telles que recommandées par le CEPD.
Le champ d’application de la décision
Le EU-US Data Privacy Framework s’applique aux organismes qui se seront engagés publiquement à se conformer au nouveau cadre de protection de la donnée auprès du département américain du commerce. Cet engagement doit être renouvelé tous les ans par les organismes participants.
La mise en place d’un organe indépendant de contrôle
Un organisme indépendant composé de 5 commissaires nommés par le Président des Etats-Unis sur proposition du sénat assure la mise en œuvre du nouveau cadre de protection des données. Il est chargé de veiller à la conformité des traitements effectués par les organismes participants au Data Privacy Framework, à identifier et à traiter les fausses allégations de participation.
L’encadrement spécifique de l’accès aux données par les autorités publiques américaines
La décision d’adéquation encadre spécifiquement l’accès aux données personnelles par les autorités publiques à des fins de poursuite des crimes et pour les fins de sécurité intérieure. Ces accès seront strictement réservés à ce qui est nécessaire et proportionné.
Les citoyens de l’Union européenne pourront également obtenir réparation en raison de la collecte et de l’utilisation de leurs données par les agences de renseignement américaines par un mécanisme de recours indépendant et impartial, qui comprend une nouvelle Cour de révision de la protection des données. Cette Cour devra, par exemple, adopter des mesures correctives contraignantes face aux plaintes qu’elle pourrait recevoir.
Ce n’est pas la première fois que l’UE adopte une décision d’adéquation pour les transferts de données vers les Etats-Unis. Les accords précédents, le Safe Habor et le Privacy shield ont tous été invalidés par la CJUE.
D’ores et déjà, plusieurs griefs ont déjà été soulevés notamment par le Parlement européen et par l’organisation Nyob. Faut-il redouter une nouvelle contestation de cette décision devant la CJUE ?
En tout état de cause, la Commission européenne surveillera l’application de ce nouveau cadre juridique afin d’apprécier la réalité de son adéquation.
[1] https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en