Transfert de données personnelles vers les Etats-Unis : vers une nouvelle décision d’adéquation ?
Publié le 08.03.2023
Un projet de décision d’adéquation a été publié par la Commission européenne le 13 décembre 2022, laissant présager l’adoption d’un nouveau cadre sécurisé pour les échanges transatlantiques de données personnelles.
Une telle décision d’adéquation (projet disponible ici) garantirait aux citoyens européens que leurs données personnelles qui sont transférées aux Etats-Unis sont protégées par un niveau de protection équivalent à celui assuré dans l’Union européenne (UE) avec le RGPD (Règlement général sur la protection des données).
Prenant en compte l’évolution des règles américaines applicables en la matière avec la signature de l’Executive Order 14086 par le président Biden le 7 octobre 2022, ce nouvel accord viendrait remplacer le précédent U.S. Privacy Shield, invalidé par la Cour de justice de l’Union européenne le 16 juillet 2020 (affaire Schrems II cf. notre flash info sur le sujet).
Toutefois, ce nouveau projet de décision d’adéquation UE-US garantit-il une protection suffisante aux citoyens européens ?
Le Comité européen à la protection des données (CEPD) ainsi que la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen ont chacun rendu un avis sur la question. Si des améliorations sont saluées (introduction de nouvelles voies de recours[1], encadrement de la collecte de données par les services de renseignement américains par les principes de nécessité et de proportionnalité…), des points de vigilance préoccupants ont cependant été relevés par les deux entités, notamment :
- l’absence de législation fédérale sur la protection des données personnelles aux États-Unis ;
- l’absence de définitions clés, facteur d’incertitude quant à l’interprétation qui pourrait être faite de certains principes, tels que celui de proportionnalité ;
- le manque de clarté quant à l’application des règles de protection des données personnelles aux sous-traitants dans un Etat tiers ; ou encore,
- l’absence de règles spécifiques sur la prise de décision automatisée et le profilage.
Au regard de ces éléments, la commission parlementaire demande à la Commission européenne de ne pas adopter ce projet de décision d’adéquation.
Notons que ces avis ne sont pas contraignants et que le projet de décision d’adéquation pourrait par conséquent être adopté en l’état par la Commission européenne si le comité composé des représentants des Etats membres de l’UE donne son « feu vert ». Nous n’avons pas d’information quant à la date à laquelle ce comité se prononcera.
Pour l’heure, les organisations européennes qui transfèrent des données personnelles vers des organismes situés aux Etats-Unis doivent continuer de mettre en place des mesures de protection supplémentaires (clauses contractuelles… cf. notre mémento RGPD).
Anouk MARCHALAND Collaboratrice juridique |
Sarah Bertail Directrice juridique et fiscale |
Pour suivre les actualités juridiques et fiscales du secteur, rendez-vous ici et abonnez-vous à notre newsletter ici.
Références :
- Avis du Comité européen à la protection des données (CEPD) du 28 février 2023
- Avis du 14 février 2023 de la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen
[1] Notamment avec une juridiction dédiée Data Protection Review Court dont le fonctionnement a été revu