Abonnés

Data privacy framework : clap de fin ou nouveau chapitre pour les transferts de données vers les Etats-Unis ?

Publié le 8 septembre 2023 à 10h35

CMS Francis Lefebvre Avocats

Le 10 juillet 2023, la Commission européenne a validé, par une décision d’adéquation, le data privacy framework1. Désormais, les organisations européennes peuvent transférer librement des données personnelles vers les Etats-Unis2.

Par Mûre Maestrati, avocate, et Anne-Laure Villedieu, avocate associée, CMS Francis Lefebvre

Cette décision, très attendue par les acteurs économiques, fait cependant l’objet de critiques et pourrait être prochainement remise en cause par la Cour de justice de l’Union européenne (CJUE).

1. Un contexte marqué par des tensions

Deux fois déjà, la Commission européenne a ouvert la voie vers une possibilité de transférer librement des données personnelles vers les Etats-Unis. Ces initiatives ont été sévèrement retoquées par la CJUE, qui a invalidé consécutivement le safe harbor puis le privacy shield3.

Ainsi, avant la décision du 10 juillet 2023, tout transfert de données vers les Etats-Unis était conditionné à l’utilisation de garanties telles que des clauses contractuelles types4.

2. L’autorisation de transférer librement des données personnelles vers les Etats-Unis

La Commission reconnaît désormais que les Etats-Unis offrent un niveau de protection équivalent à celui de l’Union européenne. Cette conclusion s’appuie notamment sur le décret présidentiel américain n° 14086 du 7 octobre 2022 venant renforcer les garanties encadrant l’utilisation des données personnelles par les services de renseignement américains, mais aussi sur la création d’une cour spéciale et d’un mécanisme d’autocertification.

La création de la Data Protection Review Court : le décret n° 14086 crée un mécanisme de recours indépendant auprès d’une nouvelle Cour, la Data Protection Review Court (DPRC). Tout Européen estimant que ses données ont été traitées de manière illégale pourra saisir cette Cour. Si celle-ci reconnaît des violations, elle pourra notamment exiger la suppression des données collectées de manière irrégulière.

Le mécanisme d’autocertification : toute entité américaine acceptant d’adhérer aux principes du RGPD peut s’inscrire sur une liste appelée EU-US Data Transfer List5, administrée par le ministère américain du commerce.

Les organisations européennes souhaitant transférer des données personnelles vers les Etats-Unis doivent donc désormais vérifier si le destinataire américain...

Les dernières lettres professionnelles

Voir plus

Dernières nominations

Voir plus

Les dernières Lettres Professionnelles

Voir plus

Dans la même rubrique

Abonnés CS3D : De l’évaluation des tiers à l’audit des tiers

Depuis l’avènement de la loi Sapin 2, fin 2016, les entreprises assujetties se sont progressivement...

Abonnés Le rôle complétif du pacte d’associés en matière de gouvernance

Un récent arrêt de la Cour de cassation vient rappeler le rôle du pacte d’associés en matière de...

Abonnés Les nouvelles obligations de déclaration d’EMIR 3.0

Le marché des dérivés attend d’un jour à l’autre la publication au JOUE d’un règlement et d’une...

Voir plus

Chargement en cours...

Chargement…