L’Union européenne a approuvé ce lundi un nouvel accord permettant aux entreprises de transférer librement des données entre l’UE et les États-Unis, ce qui pourrait mettre fin à trois années de vide juridique.
L’Union européenne a adopté un nouveau cadre juridique sur le transfert de données vers les Etats-Unis, baptisé Data Privacy Framework, alors qu’elle assure avoir obtenu des garanties sur la protection des données personnelles des citoyens européens, notamment un accès limité aux données de l’UE par les services de renseignement américains.
“Dorénavant, les données à caractère personnel peuvent circuler librement et en toute sécurité depuis l’Espace économique européen, qui comprend les 27 États membres de l’UE ainsi que la Norvège, l’Islande et le Liechtenstein, vers un pays tiers, sans être soumises à d’autres conditions ou autorisations. En d’autres termes, les transferts vers le pays tiers peuvent être traités de la même manière que les transmissions intra-UE de données.“, explique la Commission européenne.
Cet accord succède au Privacy Shield, invalidé en 2020 par la Cour de justice de l’Union européenne, en raison du manque d’un un niveau de protection suffisant, conforme aux exigences du RGPD.
De nouvelles garanties “contraignantes”
Les États-Unis ont en effet mis en place un décret exécutif, qui a introduit de nouvelles garanties contraignantes pour répondre aux points soulevés par la Cour de justice de l’Union européenne dans sa décision Schrems II de juillet 2020 . En particulier, les nouvelles obligations visent à garantir que les données ne soient accessibles aux agences de renseignement américaines que dans la mesure nécessaire et proportionnée, et à établir un mécanisme de recours indépendant et impartial pour traiter et résoudre les plaintes des Européens concernant la collecte de leurs données à des fins de sécurité nationale.
“Les citoyens de l’UE auront accès à un mécanisme de recours indépendant et impartial concernant la collecte et l’utilisation de leurs données par les agences de renseignement américaines, qui comprend une nouvelle Cour de révision de la protection des données (DPRC). La Cour enquêtera et réglera les plaintes de manière indépendante, notamment en adoptant des mesures correctives contraignantes. »
Une liste d’organismes agréés
“Les entreprises américaines pourront rejoindre le Data Privacy Framework en s’engageant à respecter un ensemble détaillé d’obligations de confidentialité, par exemple l’obligation de supprimer les données personnelles lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, et d’assurer la continuité de la protection lorsque les données personnelles sont partagées avec tiers », détaille la commission. Une liste d’organismes agréés gérée par le ministère américain du commerce sera bientôt rendue publique. “Les transferts de données personnelles depuis l’UE vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert », ainsi que le précise la CNIL.