Nouvelle décision encadrant les transferts de données vers les Etats-Unis 

La Commission européenne a annoncé ce lundi 10 juillet 2023 avoir adopté une nouvelle décision d’adéquation, le DataPrivacyFramework, permettant le transfert des données personnelles de l’Union Européenne vers les États-Unis.

En adoptant cette décision d’adéquation, la Commission européenne confirme ainsi que les États-Unis assurent désormais un niveau de protection des données personnelles dit adéquat par rapport à celui de l’Union européenne, dès lors que les organisations situées aux États-Unis respectent ce nouveau « cadre légal de protection des données ». A cet effet, une liste de ces organismes sera bientôt rendu public par le Ministère américain du commerce.

Ursula Von Der Leyen, Présidente de la Commission européenne, a d’ailleurs annoncé dans un communiqué que « le nouveau cadre de protection des données personnelles garantira la sécurité des flux de données pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l’Atlantique ».

Pour rappel, en l’absence d’une décision d’adéquation couvrant les transferts de données à caractère personnel, le pays en question doit avoir recours à un autre outil d’encadrement de transferts comme par exemple des clauses contractuelles types, complétées par des garanties techniques, contractuelles et/ou organisationnelles supplémentaires.

La Commission européenne avait déjà soumis un nouveau projet de décision d’adéquation, l’Executive order, au Comité européen à la protection des données (CEPD) qui avait rendu un avis négatif le 28 février 2023.

Toutefois et contrairement à l’Executive Order, le DataPrivacyFramework prévoirait des garanties supplémentaires afin de restreindre l’accès des agences de renseignement américaines à des données recueillies en Europe et transférées ou hébergées outre-Atlantique, uniquement à ce qui est « nécessaire » et « proportionné ». Ces mêmes garanties complémentaires devraient également être de nature à faciliter l’utilisation d’autres outils, tels que les clauses contractuelles types (CCT) et les règles d’entreprise contraignantes (BCR).

Les deux dispositifs précédemment mis en place pour permettre aux entreprises de transférer ces données de l’Europe vers les États-Unis, notamment le Privacy Shield*, avaient été invalidés en raison de craintes d’une surveillance par les services de renseignement américains. Ces recours devant la CJUE avaient été introduits par l’association Noyb et l’autrichien Max Schrems.

Ce même lundi 10 juillet 2023, Max Shrems a d’ailleurs annoncé saisir à nouveau la justice, estimant que le nouveau texte n’apportait pas d’amélioration en matière de protection des données personnelles des Européens.

Il convient tout de même de préciser que le 3 juillet 2023, l’autorité de contrôle suédoise sanctionnait encore quatre entreprises pour l’usage de Google Analytics. C’est d’ailleurs même la première fois que l’utilisation de Google Analytics est sanctionnée financièrement depuis l’invalidation du Privacy Shield. Dans sa décision, l’autorité de contrôle suédoise soulignait que les mesures de sécurité supplémentaires mises en place par la société Google étaient insuffisantes.

Cette annonce de la Commission européenne fait grand bruit et interroge sur les réelles mesures qui seront mises en place par les entreprises américaines permettant de protéger les données des usagers européens.

Alors, à quand la prochaine bataille judiciaire ?

Pour aller plus loin :

– Décision d’adéquation (en anglais) : Commission européenne – Adoption de la décision d’adéquation DataPrivacyFramework

– Arrêt Schrems II – Cour de justice de l’Union européenne

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie