Protection des données : la Commission européenne adopte une nouvelle décision d'adéquation pour la sécurité des transferts de données entre l'UE et les États-Unis
La Commission européenne a adopté aujourd'hui sa décision d'adéquation pour le cadre de protection des données UE-États-Unis. La décision conclut que les États-Unis garantissent un niveau de protection des données adéquat - comparable à celui de l'Union européenne - pour les données à caractère personnel transférées de l'UE vers des entreprises américaines dans le cadre du nouveau cadre. En vertu de la nouvelle décision d'adéquation, les données à caractère personnel peuvent être transférées en toute sécurité de l'UE vers les entreprises américaines participant au cadre sans devoir prendre des mesures supplémentaires de protection des données.
Le cadre de protection des données UE-États-Unis introduit de nouvelles garanties contraignantes pour répondre à toutes les préoccupations soulevées par la Cour de justice européenne, y compris la limitation de l'accès aux données de l'UE par les services de renseignement américains à ce qui est nécessaire et approprié, ainsi que la création d'une Cour d'examen de la protection des données (DPRC) à laquelle les citoyens européens auront accès. Le nouveau cadre apporte des améliorations considérables par rapport au Privacy Shield. Si le DPRC constate que des données ont été collectées en violation des nouvelles mesures de sécurité, il pourra ordonner leur suppression. Les nouvelles dispositions en matière d'accès gouvernemental aux données complètent les obligations auxquelles les entreprises américaines seront soumises lorsqu'elles importeront des données de l'UE.
La présidente Ursula von der Leyen a déclaré : "Le nouveau cadre de protection des données UE-États-Unis garantira des flux de données sécurisés pour les Européens et offrira une sécurité juridique aux entreprises des deux côtés de l'Atlantique. Après l'accord de principe conclu l'année dernière avec le président Biden, le gouvernement américain a mis en œuvre des engagements sans précédent pour établir le nouveau cadre. Aujourd'hui, nous franchissons une étape importante pour donner aux citoyens la certitude que leurs données sont en sécurité, pour approfondir nos relations économiques entre l'UE et les États-Unis, tout en réaffirmant nos valeurs communes. Cela montre qu'en travaillant ensemble, nous pouvons résoudre des problèmes complexes".
Les entreprises américaines peuvent adhérer au cadre de protection des données UE-États-Unis en s'engageant à respecter une série détaillée d'obligations en matière de protection des données, telles que l'obligation de supprimer les données à caractère personnel lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées et de poursuivre la protection lorsque les données à caractère personnel sont partagées avec des tiers.
Les citoyens de l'UE auront plusieurs possibilités de se plaindre si leurs données sont mal gérées par des entreprises américaines. Il s'agit notamment de mécanismes indépendants de règlement des litiges et d'un panel d'arbitrage, qui seront disponibles gratuitement.
En outre, le système juridique américain prévoit un certain nombre de garanties concernant l'accès des autorités américaines aux données transférées dans le cadre du cadre, notamment à des fins d'enquêtes pénales et de sécurité nationale. L'accès aux données est limité à ce qui est nécessaire et approprié pour protéger la sécurité nationale.
Les citoyens de l'UE auront accès à un mécanisme de recours indépendant et impartial concernant la collecte et l'utilisation de leurs données par les services de renseignement américains, y compris un tribunal d'examen de la protection des données (DPRC) nouvellement créé. Ce tribunal examinera et résoudra les plaintes de manière indépendante en prenant des mesures correctives contraignantes.
Les mesures de sécurité mises en place par les États-Unis facilitent également, de manière générale, la circulation transatlantique des données, car elles s'appliquent également lorsque les données sont transférées à l'aide d'autres instruments, tels que les clauses contractuelles types et les règles d'entreprise contraignantes.
Prochaines étapes
Le fonctionnement du cadre de protection des données UE-États-Unis fait l'objet d'examens réguliers menés par la Commission européenne, en collaboration avec des représentants des autorités européennes chargées de la protection des données et des autorités américaines compétentes.
Le premier examen aura lieu dans un délai d'un an à compter de l'entrée en vigueur de la décision d'adéquation afin de vérifier que tous les éléments pertinents ont été pleinement mis en œuvre dans le système juridique américain et qu'ils fonctionnent efficacement dans la pratique.
Contexte
L'article 45, paragraphe 3, du règlement général sur la protection des données (RGPD) confère à la Commission le pouvoir de constater, par un acte d'exécution, qu'un pays non membre de l'UE assure un "niveau adéquat de protection des données" - un niveau de protection des données à caractère personnel substantiellement équivalent à celui qui existe au sein de l'UE. Les décisions d'adéquation permettent aux données à caractère personnel de circuler librement de l'UE (ainsi que de la Norvège, du Liechtenstein et de l'Islande) vers un pays tiers, sans autres obstacles.
Suite à l'annulation par la Cour de justice de l'Union européenne de la précédente décision d'adéquation sur le Privacy Shield UE-États-Unis, la Commission européenne et le gouvernement américain ont entamé des négociations sur un nouveau cadre qui aborde les questions soulevées par la Cour.
En mars 2022, la présidente von der Leyen et le président Biden ont annoncé qu'ils étaient parvenus à un accord de principe sur un nouveau cadre transatlantique de flux de données, à la suite de négociations entre le commissaire Reynders et la secrétaire d'État américaine Raimondo. En octobre 2022, le président Biden a signé un ordre exécutif visant à "améliorer les mesures de sécurité pour les activités du service de renseignement sur les signaux des États-Unis", complété par des dispositions prises par le procureur général Garland.