La Commission européenne a annoncé lundi dernier l’adoption d’un nouveau cadre de transfert de données avec les États-Unis et l’Europe. Cette décision, qui intervient après l’invalidation de deux initiatives précédentes par la justice, offre un nouveau cadre juridique pour les flux de données transatlantiques, en conformité avec le Règlement général sur la protection des données (RGPD) de l’UE.
Un nouveau cadre en réponse aux préoccupations sur la protection des données :
Suite à la signature d’un décret par le président américain Joe Biden en octobre dernier, la Commission européenne a publié son projet de décision d’adéquation des données avec les États-Unis en décembre. Ce décret a été conçu pour répondre aux préoccupations soulevées par les juges de l’UE dans deux affaires historiques, où les transferts de données à caractère personnel de l’UE vers les États-Unis ont été jugés illégaux. Le décret américain introduit des garanties pour les données personnelles des résidents de l’UE, limite l’accès des agences de renseignement américaines et met en place un mécanisme de recours indépendant.
Une décision accueillie favorablement par les autorités :
Didier Reynders, commissaire européen à la Justice, a déclaré lors d’une conférence de presse que « les données à caractère personnel peuvent désormais circuler librement et en toute sécurité de l’Espace économique [européen] vers les États-Unis ». De plus, la secrétaire américaine du commerce, Gina Raimondo, a annoncé que tous les engagements pris pour mettre en œuvre le cadre de protection des données avaient été respectés.
Des critiques persistent :
Malgré ces avancées, la décision d’adéquation n’a pas fait l’unanimité. Le Comité européen de la protection des données (EDPB) a souligné plusieurs points à améliorer, notamment en ce qui concerne les droits des personnes concernées, les transferts ultérieurs de données et la collecte temporaire de données en masse. De plus, l’activiste autrichien Max Schrems a déclaré que la simple annonce de la nouveauté et de l’efficacité du cadre ne suffit pas devant la Cour de justice.
Comment organiser un transfert de données vers les États Unis ?
Pour organiser un transfert de données avec les États-Unis à partir de l’Union européenne, voici les étapes à suivre en se basant sur le nouveau cadre de protection des données UE-États-Unis :
Respecter le RGPD : Assurez-vous que toutes les données à caractère personnel que vous prévoyez de transférer sont traitées conformément au Règlement général sur la protection des données (RGPD) de l’UE.
Garanties de protection des données : Assurez-vous que les données personnelles des résidents de l’UE sont protégées. Cela peut être réalisé en limitant l’accès des agences de renseignement américaines et en introduisant un mécanisme de recours indépendant.
Coopération avec les autorités américaines : Si une organisation ne se conforme pas aux demandes d’une autorité européenne de protection des données, l’affaire doit être signalée au Département du Commerce des États-Unis et à la Commission fédérale du commerce américaine.
Respecter les conditions d’émission d’injonctions administratives : Les conditions d’émission d’injonctions administratives à comparaître pour accéder aux données détenues par les entreprises aux États-Unis à des fins d’intérêt public et de mandats de perquisition doivent être respectées.
Définir la période de conservation : Les services de renseignement doivent définir la période de conservation spécifique et la justification, telle que le type d’informations détenues ou la nécessité de protéger une personne.
Surveillance des services de renseignement : Les services de renseignement seront placés sous le contrôle de la Commission américaine de contrôle de la protection de la vie privée et des libertés civiles, qui aura accès à tous les documents pertinents, y compris les informations classifiées.
Réexamen régulier : La Commission européenne réexaminera régulièrement la décision relative au caractère adéquat des données, un an après son entrée en vigueur. Elle examinera notamment le mécanisme de recours et la coopération entre les autorités américaines et européennes.
Il est important de noter que ce cadre est sujet à des critiques et à des controverses, et qu’il pourrait être modifié ou invalidé à l’avenir. Il est donc recommandé de consulter régulièrement les mises à jour des réglementations et de travailler avec des experts en protection des données pour assurer la conformité.
