Le 10 juillet 2023, la Commission européenne a validé, par une décision d’adéquation, le data privacy framework1. Désormais, les organisations européennes peuvent transférer librement des données personnelles vers les Etats-Unis2.
Cette décision, très attendue par les acteurs économiques, fait cependant l’objet de critiques et pourrait être prochainement remise en cause par la Cour de justice de l’Union européenne (CJUE).
1. Un contexte marqué par des tensions
Deux fois déjà, la Commission européenne a ouvert la voie vers une possibilité de transférer librement des données personnelles vers les Etats-Unis. Ces initiatives ont été sévèrement retoquées par la CJUE, qui a invalidé consécutivement le safe harbor puis le privacy shield3.
Ainsi, avant la décision du 10 juillet 2023, tout transfert de données vers les Etats-Unis était conditionné à l’utilisation de garanties telles que des clauses contractuelles types4.
2. L’autorisation de transférer librement des données personnelles vers les Etats-Unis
La Commission reconnaît désormais que les Etats-Unis offrent un niveau de protection équivalent à celui de l’Union européenne. Cette conclusion s’appuie notamment sur le décret présidentiel américain n° 14086 du 7 octobre 2022 venant renforcer les garanties encadrant l’utilisation des données personnelles par les services de renseignement américains, mais aussi sur la création d’une cour spéciale et d’un mécanisme d’autocertification.
La création de la Data Protection Review Court : le décret n° 14086 crée un mécanisme de recours indépendant auprès d’une nouvelle Cour, la Data Protection Review Court (DPRC). Tout Européen estimant que ses données ont été traitées de manière illégale pourra saisir cette Cour. Si celle-ci reconnaît des violations, elle pourra notamment exiger la suppression des données collectées de manière irrégulière.
Le mécanisme d’autocertification : toute entité américaine acceptant d’adhérer aux principes du RGPD peut s’inscrire sur une liste appelée EU-US Data Transfer List5, administrée par le ministère américain du commerce.
Les organisations européennes souhaitant transférer des données personnelles vers les Etats-Unis doivent donc désormais vérifier si le destinataire américain...