Transferts de données et États-Unis : la Commission européenne publie un nouveau projet de décision d'adéquation.

La Commission européenne vient de publier son projet de décision d'adéquation pour les transferts de données personnelles vers les États-Unis. 

Ce projet marque un nouveau pas vers la sécurisation des flux transatlantiques de données, mis à mal depuis l’annulation du « Privacy Shield » par la Cour de justice de l’Union européenne (CJUE) dans son arrêt dit « Schrems II » de juillet 2020.

Quelles conséquences pour les acteurs français ?

Le projet de texte, lequel n’a pas encore été définitivement adopté, prévoit un cadre légal appelé « EU-U.S. Data Privacy Framework » pour les transferts de données personnelles vers les organisations aux États-Unis qui participeront à un système de certification, sous la supervision des autorités américaines.

Concrètement, si le texte est adopté, les responsables de traitement français pourront utiliser des services, applications ou logiciels proposés par des entreprises américaines, sans devoir mettre en place des garanties techniques et/ou contractuelles spécifiques pour encadrer les éventuels transferts de données personnelles vers les États-Unis dans ce contexte.

De quoi rassurer les entreprises utilisatrices de telles outils, qui doivent faire face aujourd’hui à une grande insécurité juridique lorsqu’elles font appel aux solutions américaines d’hébergement Cloud, d’analyse Web via des cookies, de gestion bureautique, etc.

Le projet va être examiné par le Comité européen de la protection des données (CEPD) et par un comité composé des représentants des États-membres. De plus le Parlement européen dispose d’un droit de regard sur ce type de décision.

De plus, l’association de défense des droits NOYB, fondé par l’activiste autrichien Max Schrems, acteur important de la protection des données en Europe notamment dans le cadre des deux arrêts « Schrems » de la CJUE a déjà annoncé qu’ils analyseront le projet de leur côté[1]. 

En tout état de cause, en attendant la décision finale de la Commission, les responsables de traitement français doivent continuer à appliquer les règles existantes à leurs transferts de données vers les Etats-Unis, ce qui implique dans la plupart des cas de réaliser une étude du niveau de protection des données dans le pays destinataire, de signer un contrat appelé « Clauses types » avec le ou les organisations destinataires des données et de mettre en place, le cas échéant, des mesures techniques et organisationnelles complémentaires pour sécuriser la protection des données personnelles concernées.

L’équipe IP/IT – DATA

Les avocats de notre Pôle Data sont à votre disposition pour échanger sur ces démarches et sur le nouveau projet de texte européen.

DÉCOUVREZ NOTRE CYCLE DE FORMATION :
NUMÉRIQUE DATA

Pour aller plus loin :

https://www.altij.fr/detail-actualites/detail-actualites-compliance/rgpd-comment-securiser-vos-transferts-de-donnees-les-nouvelles-clauses-contractuelles-types-expliquees

https://www.altij.fr/detail-actualites/breaking-news-transferts-de-donnees-la-reforme-saccelere-et-se-concretise

https://www.altij.fr/detail-actualites/utilisation-de-google-analytics-illegale-quelles-recommandations-de-la-cnil

https://www.altij.fr/detail-actualites/affaire-google-analytics-quelles-consequences-pour-mon-site-internet

[1] Max Schrems :"Nous allons analyser le projet de décision en détail dans les prochains jours. Comme le projet de décision est basé sur le fameux Executive Order, je ne vois pas comment il pourrait survivre à une contestation devant la Cour de justice. Il semble que la Commission européenne ne fait qu'émettre des décisions similaires encore et encore - en violation flagrante de nos droits fondamentaux." Voir https://noyb.eu/en/statement-eu-comission-adequacy-decision-us