EU-US Data Privacy Framework: Accord historique sur le RGPD en l’U.E. et les USA
La Commission européenne a pris une décision historique en adoptant un nouveau cadre de protection des données, le « EU-US Data Privacy Framework », permettant le transfert de données à caractère personnel vers les États-Unis sans compromettre le niveau de protection garanti par le RGPD (Règlement Général sur la protection des données).
Le Règlement général sur la protection des données (RGPD) impose des restrictions strictes sur le transfert de données personnelles en dehors de l'Union européenne afin de garantir la protection des données des citoyens européens. Selon le RGPD, un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale n'est autorisé que si la Commission européenne constate que le pays tiers ou l'organisation en question assure un niveau de protection adéquat.
Le « EU-US Data Privacy Framework », marque une avancée significative en permettant le transfert de données à caractère personnel vers les États-Unis sans compromettre le niveau de protection garanti par le RGPD. Auparavant, des entreprises telles que Microsoft, Google, Amazon et Facebook étaient autorisées à transférer des données vers les États-Unis grâce au cadre Privacy Shield, qui faisait office d'accord de transfert de données entre l'UE et les États-Unis. Cependant, suite à l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne dans le cadre de l'arrêt « Schrems II », un vide juridique est apparu, créant des incertitudes quant au transfert de données entre les deux continents.
Ainsi, ce nouveau « Data Privacy Framework » est entré en vigueur le 10 juillet 2023 et permet désormais d'exporter des données vers les organisations présentes dans la « Data Privacy Framework List » sans recourir à des outils de transfert spécifiques prévus à l'article 46 du RGPD ou devoir adopter des mesures complémentaires pour garantir la protection des données. La liste des organisations couvertes par le Data Privacy Framework est accessible via un site web dédié.
Cependant, il est important de noter que les responsables des transferts de données personnelles vers des organisations non listées doivent continuer à mettre en place des outils de transfert adéquats pour garantir le respect du niveau de protection requis par le RGPD. Cela peut être réalisé en utilisant des clauses contractuelles types ou des règles d'entreprise contraignantes, conformément aux Recommandations 01/2020 de l’EDPB (European Data Protection Board).
La décision d'adéquation offre également des garanties aux personnes dont les données sont transférées aux États-Unis sur la base du nouveau cadre. En cas de manquement présumé au Data Privacy Framework par une organisation américaine, les individus disposent de plusieurs voies d'action pour faire valoir leurs droits et protéger leurs données.
Cette décision d’adéquation revêt une importance particulière étant donné qu'elle intervient après l'invalidation de deux autres accords, le Safe Harbor et le Privacy Shield, par la Cour de justice de l'Union européenne, suite aux arrêts « Schrems I » et « Schrems II ». Ces arrêts ont souligné la nécessité d'un cadre robuste de protection des données pour les transferts de données entre l'UE et les États-Unis, et la nouvelle décision d'adéquation vise à répondre à ces préoccupations tout en préservant les droits et la confidentialité des citoyens européens.
Pour plus d’informations sur le Data Privacy Framework, la Commission européenne met à disposition des ressources telles que la décision d’adéquation, une rubrique « FAQ », ainsi que des notes d'information et des avis de l’European Data Protection Board sur le sujet.
La décision d’adéquation du « EU-US Data Privacy Framework » marque une étape importante dans la protection des données personnelles des citoyens européens lors de leur transfert vers les États-Unis. Ce nouveau cadre offre aux entreprises une voie légale pour les transferts de données tout en garantissant un niveau élevé de protection des données conforme au RGPD, tout en offrant aux individus des moyens de recours en cas de violation présumée de leurs droits à la vie privée. Cette décision témoigne de l'engagement continu de l'Union européenne à renforcer la protection des données et à promouvoir la confidentialité numérique à l'échelle mondiale.
Liens utiles :
- Article 46 RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5
- Data Privacy Framework List : https://www.dataprivacyframework.gov/s/participant-search
- Rubrique FAQ : https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752
- Notes d'information de l’EDPB : https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-data-transfers-under-gdpr-united-states-after_en