Une nouvelle décision d’adéquation pour les transferts de données vers les Etats-Unis

Le 10 juillet, la Commission européenne a adopté une nouvelle décision d’adéquation pour les Etats-Unis, le « EU-US Data Privacy Framework ».

Le RGPD (Règlement Général sur la protection des données) prévoit que lorsque des données soumises à la protection du RGPD sont transférées en dehors de l’Union Européenne, le niveau de protection des personnes physiques garanti par le RGPD ne peut pas être compromis.

Un transfert de données à caractère personnel vers un pays tiers ou vers une organisation internationale peut notamment avoir lieu lorsque la Commission européenne a constaté que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou encore l'organisation internationale en question assure un niveau de protection adéquat. Vous trouverez ici la liste des pays bénéficiant d’une telle décision d’adéquation.

Le nouveau « Data Privacy Framework » qui est entré en vigueur le 10/07/2023 permet d’exporter des données vers les organisations reprises dans la « Data Privacy Framework List » sans devoir faire appel à des outils de transferts tels que prévus à l’article 46 du RGPD ou devoir adopter des mesures qui complètent les instruments de transferts (voir les Recommandations 01/2020 de l’EDPB sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE). Le responsable du traitement qui transfère des données personnelles vers des organisations non listées devra toujours mettre en place les outils de transferts nécessaires pour garantir aux données un niveau de protection adéquat tel que prévu par le RGPD, par exemple via des clauses contractuelles types ou des règles d’entreprise contraignantes (voir les Recommandations 01/2020 de l’EDPB). La liste des organisations couvertes par le Data Privacy Framework est rendue accessible sur un site web dédié.

La décision prévoit également que les personnes dont les données sont transférées aux États-Unis sur la base de la décision d'adéquation disposent de plusieurs voies d’actions si elles estiment que l'organisation américaine concernée ne respecte pas le Data Privacy Framework.

Cette décision d’adéquation intervient après que deux autres décisions d’adéquation (le Safe Harbor et le Privacy Shield) aient été invalidées par la Cour de Justice de l’Union Européenne dans le cadre des arrêts dits « Schrems I » et « Schrems II ».

Pour plus d’informations sur le Data Privacy Framework, consultez :

• La décision d’adéquation
• La rubrique « FAQ » de la Commission Européenne
• La note d'information de l’EDPB sur le sujet
• L’avis de l’EDPB sur le projet de décision d’adéquation

Pour plus d’informations sur les transferts de données en général, consultez notre dossier thématique « Flux internationaux de données ».