Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation concernant le transfert des données personnelles de l'Union Européenne vers les États-Unis.
Le cadre légal
Le RGPD encadre les transferts internationaux de données à caractère personnel vers les pays tiers ou les organisations internationales en mettant en place des mécanismes suivants auxquels les responsables de traitement ou les sous-traitants doivent se référer (1) :
Les transferts fondés sur une décision d'adéquation : il s'agit d'une décision prise par la Commission européenne par laquelle elle constate que le territoire ou l'organisation en question assure un niveau de protection substantiellement équivalent à celui garanti dans l'Union Européenne (2) ;
Les transferts moyennant des garanties appropriées : dans le cas où il n'existe pas de décision d'adéquation, le transfert alors est conditionné à l'existence de garanties appropriées et au fait que les personnes concernées disposent de droits opposables et de voies de droit effectives (3) ;
Les transferts réalisés par dérogation : dans le cas où il n'existe ni décision d'adéquation ni garanties appropriées, le transfert est alors conditionné à des règles dérogatoires (par exemple le consentement explicite après information des risques...) (4).
Une situation complexe avec les États-Unis
Deux décisions d'adéquation bien connues avaient déjà été prises par la Commission européenne en 2000 puis en 2016, avant d'être respectivement invalidées par la Cour de Justice de l'Union Européenne (CJUE) qui a considéré que les États-Unis n'offraient en réalité aucune protection réelles des données personnelles :
Le « Safe Harbor » ou « Sphère de sécurité » (2000) : annulé par une décision de la CJUE en 2015 (5), notamment à la suite des révélations faites par Edward Snowden en 2013 ;
Le « Privacy Shield » ou « Bouclier de protection » (2016) : annulé par une décision de la CJUE en 2020 (6).
Depuis la dernière annulation, les responsables de traitement et sous-traitants qui transféraient des données personnelles vers les États-Unis devaient mettre en place des mesures supplémentaires (techniques, organisationnelles et juridiques) afin de garantir leur protection, notamment via des clauses contractuelles types.
La nouvelle décision d'adéquation
La Commission européenne, effectuant une troisième tentative, a adopté une toute nouvelle décision d'adéquation le 10 juillet 2023. Alors qu'il était légitime d'espérer une décision qui se fonde sur une protection effective, Max Schrems (7), Président de Noyb (8) s'est exprimé et a indiqué que selon lui « le dernier accord n'est pas basé sur des changements matériels, mais sur des intérêts politiques. »
« Le prétendu "nouveau" cadre transatlantique de protection des données personnelles est en grande partie une copie du "bouclier de protection des données" qui a échoué. Malgré les efforts de relations publiques de la Commission européenne, la législation américaine et l'approche adoptée par l'UE n'ont guère changé. » noyb.eu - Le nouveau cadre transatlantique de protection des données personnelles est en grande partie une copie du "bouclier de protection des données"
Il y aurait ainsi fort à parier que la CJUE soit saisie dans les prochains mois, et que cette décision subisse également une annulation. En attendant, la liste des entreprises qui se sont engagées à respecter l'accord est disponible... À suivre !
--
(1) Chapitre 5 du RGPD - Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
(7) Max Schrems est un activiste autrichien qui agit pour la défense des données personnelles. Il est à l'origine des invalidations du Safe Harbor et du Privacy Shield.
(8) Noyb (pour Non Of Your Business) est une association autrichienne qui oeuvre pour la défense de la vie privée. Sur son site, Noyb indique « en fin de compte, Noyb est conçue pour s'associer aux organisations, ressources et structures existantes afin de maximiser l'impact de la GDPR, tout en évitant les structures parallèles ».
Comments