Version actualisée d’un article initialement publié le 18 août 2023
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation établissant le cadre du Data Privacy Framework (cadre de protection des données UE – États-Unis). La Commission a établi dans sa décision que les États-Unis assurent un niveau de protection adéquat, conformément à l'article 45 du RGPD, pour les données à caractère personnel transférées depuis l'Espace économique européen (EEE) vers des organisations aux États-Unis incluses dans la « liste du cadre de protection des données UE - États-Unis ». Cette liste est maintenue et rendue publique par le Département du Commerce des États-Unis. Les organisations qui souhaitent transférer des données à caractère personnel vers les États-Unis dans le cadre du Data Privacy Framework sont tenues de vérifier si l’importateur de données est auto-certifié et figure sur la liste.
Cette décision d’adéquation remplace l’ancienne décision d’adéquation établissant le EU-US Privacy Shield, qui a été invalidée par la Cour de justice de l’Union européenne (CJUE) dans l’arrêt-clé Schrems II du 16 juillet 2020 (L’arrêt Schrems II).
Sur base de la nouvelle décision d’adéquation, les données à caractère personnel peuvent désormais circuler « en toute sécurité » depuis l'EEE vers des organisations américaines auto-certifiées participant au cadre du Data Privacy Framework sans que ces organisations aient à mettre en œuvre des garanties et des mesures techniques, organisationnelles ou contractuelles supplémentaires pour protéger les données à caractère personnel.
La décision d'adéquation a été adoptée le 10 juillet 2023 et est immédiatement applicable. Les entreprises qui étaient déjà auto-certifiées en vertu du Privacy Shield sont automatiquement auto-certifiées sous le nouveau régime du Data Privacy Framework (sous condition qu’elles adoptent certaines mesures d’ici octobre 2023).
Il reste à savoir combien de temps cette décision d'adéquation restera en vigueur. L'organisation pour la défense de la vie privée de Max Schrems (NOYB - None Of Your Business) a déjà indiqué qu'elle contesterait la nouvelle décision d'adéquation. Elle a cependant été devancée par Philippe Latombe, membre français du Parlement européen et commissaire de la Commission nationale de l'informatique et des libertés (CNIL), qui a été le premier à contester la décision d'adéquation devant le Tribunal. Dans son communiqué de presse, Latombe a exprimé ses préoccupations concernant la protection insuffisante des données à caractère personnel, la violation des droits des Européens et le non-respect des règles linguistiques procédurales (basées sur l'article 264 du TFUE). Le Tribunal a récemment rejeté sa demande aux mesures provisoires visant à suspendre le cadre du Data Privacy Framework. Latombe n'a pas pu prouver l’urgence de sa demande, ni le préjudice grave et irréparable causé par le cadre du Data Privacy Framework.
C'est pourquoi il peut être opportun de prévoir un mécanisme de repli avec des clauses contractuelles types en cas d’accords de partage de données à long terme.
Lisez nos contributions précédentes sur la décision d'adéquation UE-États-Unis et les transferts de données ici, ici et ici.