Le 10 juillet 2023, la Commission européenne a pris une décision majeure en matière de protection des données. Cette décision concerne spécifiquement les États-Unis et vise à garantir un niveau de protection adéquat des données personnelles lors de leur transfert de l'Union européenne vers des organisations américaines.
Après avoir examiné attentivement les modifications apportées à la législation nationale américaine, la Commission européenne a conclu qu'elles assurent désormais une protection suffisante des données personnelles. Pour bénéficier de cette décision, les organisations américaines doivent se conformer au nouveau "cadre de protection des données" établi.
Par conséquent, les transferts de données personnelles vers ces organisations pourront désormais s'effectuer librement, sans nécessiter l'utilisation de "clauses contractuelles types" ou d'autres mécanismes spécifiques.
Il faut se souvenir que la Commission européenne avait adopté la décision de Safe Harbor, qui permettait aux entreprises américaines de s'auto-certifier et de transférer des données depuis l'Union européenne (UE) vers les États-Unis, en garantissant un niveau de protection adéquat des données personnelles.
La Cour de justice de l'Union européenne (CJUE) invalida la décision de la Commission européenne sur le Safe Harbor.
Elle estimait que les transferts de données vers les États-Unis ne garantissaient pas un niveau de protection adéquat des données personnelles, en raison des pratiques de surveillance de masse.
La Commission européenne adopta une nouvelle décision, le Privacy Shield, pour remplacer le Safe Harbor. Le Privacy Shield imposait des obligations plus strictes aux entreprises américaines et créait un mécanisme de recours pour les citoyens européens mécontents du traitement de leurs données aux États-Unis.
À la suite d’une nouvelle affaire initiée par Max Schrems, la CJUE invalide le Privacy Shield. La Cour estimait que les transferts de données vers les EU ne garantissaient toujours pas un niveau de protection équivalent à celui offert au sein de l'UE.
Au regard des deux invalidations précédentes, nous pouvons nous attendre à ce que l'association de Max Schrems "Non of your business" intente une action à l'encontre de cette nouvelle décision d'adéquation.
Vous avez une question juridique concernant la réglementation sur la protection des données ? Extern DPO peut mettre à votre disposition une hotline afin de répondre à vos interrogations sur votre conformité RGPD. Nos experts apporteront des réponses claires et précises pour vous aider au mieux dans votre démarche.