Un bon résumé en allemand du projet de décision sur l'adéquation.
La Commission européenne a publié le projet tant attendu de décision d'adéquation pour les transferts de données de l'UE vers les États-Unis, après avoir analysé la législation et les pratiques américaines, notamment l'Executive Order 14086 et le règlement AG. Elle conclut que les États-Unis garantissent un niveau de protection adéquat pour les données à caractère personnel transférées conformément au cadre de protection des données UE-États-Unis. Le cadre de protection des données UE-États-Unis est un système de certification par lequel les organisations américaines s'engagent à respecter une série de principes de protection des données publiés par le ministère américain du commerce. Ces principes s'appliquent immédiatement après la certification. Ils n'affectent pas les exigences du règlement (UE) 2016/679 qui s'appliquent aux entités de l'Union qui transfèrent des données, telles que la limitation des finalités, la minimisation des données, la transparence et la sécurité des données.
Les données à caractère personnel peuvent être transférées de l'UE vers les États-Unis dans le cadre du RGPD UE-USA, à l'exception des données collectées pour la publication, la diffusion ou d'autres formes de communication publique de matériel journalistique. Le cadre UE-États-Unis pour le traitement des données s'applique aux organisations situées aux États-Unis qui sont considérées comme des responsables du traitement ou des sous-traitants et qui sont tenues par contrat de n'agir que sur instruction du responsable du traitement de l'UE et d'aider ce dernier à répondre aux demandes des personnes qui exercent leurs droits conformément aux principes. Selon le cadre de protection des données UE-États-Unis, les données à caractère personnel doivent être traitées de manière licite et loyale et ne doivent pas être incompatibles avec les finalités pour lesquelles elles ont été initialement collectées.
Dans certaines circonstances, il n'est pas nécessaire de demander le consentement pour le traitement de données sensibles. Toutefois, conformément au principe d'intégrité des données et de limitation des finalités, les organisations doivent veiller à ce que les données à caractère personnel soient exactes, complètes et à jour, et ne doivent conserver les données à caractère personnel que pendant la durée nécessaire à la réalisation de la ou des finalités pour lesquelles elles ont été initialement collectées ou pour lesquelles la personne concernée a donné son consentement, conformément au principe de libre choix. En outre, les données à caractère personnel doivent être traitées de manière à garantir leur sécurité, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels. Enfin, les responsables du traitement et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées.