Ainsi que nous l’évoquions dans de précédents articles (voir notamment ici), l’invalidation par la Cour de Justice de Union européenne le 16 juillet 2020 de la décision d’adéquation du Privacy Shield a engendré nombres de difficultés juridiques, notamment s’agissant de l’encadrement des transferts de données à caractère personnel depuis les Etats membres de l’Union européenne vers les Etats-Unis.
Pour mémoire, les transferts de données à caractère personnel vers des Etats hors Union européenne ne peuvent être librement mis en œuvre et doivent faire l’objet d’un encadrement spécifique. En effet, ils ne sont autorisés que si le pays ou l’entreprise destinataire assure un niveau de protection suffisant aux données transférées dans la mesure où il importe que, lorsque des données font l’objet de tels transferts, le niveau de protection des données des personnes physiques ne soit pas compromis.
Comme espéré, la Commission européenne vient de considérer que les modifications de la législation apportées par les Etats-Unis (notamment concernant l’encadrement de l’accès aux données par les autorités américaines) permettent d’assurer un niveau de protection adéquat des données à caractère personnel transférées vers les États-Unis. Elle a ainsi adopté le 10 juillet 2023 une décision d’adéquation au profit des Etats-Unis, qui permet désormais d’encadrer les tels transferts de données à caractère personnel vers les Etats-Unis depuis des Etats membres de l’Union européenne conformément à la règlementation applicable en matière de protection des données à caractère personnel, et en particulier au règlement général sur la protection des données (« RGPD »), sans qu’il ne soit besoin d’assortir ces transferts de garanties ou conditions supplémentaires.
Toutefois, les organismes destinataires des données situés aux Etats-Unis et vers lesquels des transferts de données pourront être réalisés valablement et encadrés par cette décision d’adéquation devront s’engager à respecter les principes qui y sont énoncés et seront référencés sur le site du ministère du commerce américain (la liste de ces organismes sera prochainement accessible ici).
Cette décision d’adéquation entre en application le jour de son adoption, soit le 10 juillet 2023.
Une foire aux questions (en anglais) concernant cette décision d’adéquation a été publiée par la Commission européenne et la Cnil a d’ores et déjà publié un communiqué informant de l’adoption de cette décision d’adéquation en précision que des éléments complémentaires sur ce sujet seront publiés “très prochainement”.
Il convient toutefois de relever que l’association NOYB (None Of You Business) a d’ores et déjà annoncé qu’elle engagerait un recours devant la CJUE fin 2023/début 2024 pour remettre en cause la validité de cette décision de la Commission européenne. Affaire à suivre donc …
* *
*
Conséquences pratiques : il appartient à tout organisme traitant des données à caractère personnel au sein de l’Union européenne et transférant de telles données vers les Etats-Unis :
- de vérifier si ces transferts peuvent être encadrés sur le fondement de la nouvelle décision d’adéquation susvisée, c’est-à-dire de s’assurer que les organismes destinataires des données aux USA sont référencés sur la liste précitée publié par le ministère du commerce américain ;
- d’ajuster l’ensemble des mentions d’information à l’attention des personnes concernées dont les données font l’objet d’un tel transfert. En effet, et pour mémoire, l’existence de transferts de données à caractère personnel à destination d’Etats situés hors Union européenne ainsi que les garanties encadrant de tels flux (ici, la décision d’adéquation précitée, sous réserve que les organismes destinataires figurent bien dans la liste du ministère du commerce américain susvisée) doivent impérativement être précisés dans les mentions d’information à l’attention des personnes concernées (cf. articles 13 et 14 du RGPD) ;
- de mettre à jour la documentation interne de l’organisme concerné, et notamment le registre des activités de traitement de données à caractère personnel, afin d’y indiquer ces transferts hors Union européenne ainsi que les garanties encadrant de tels transferts.
Le Pôle « IT & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel, et notamment aux fins de déploiement des mises à jour et actions vérificatrices / correctrices qui seraient rendues nécessaires suite à l’adoption par la Commission européenne de la décision d’adéquation précitée.
Par AGIL’IT – Pôle IT, Data & Sécurité
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate manager


