Le 13 décembre 2022, la Commission européenne a publié un projet d’une nouvelle décision d'adéquation pour les transferts de données entre l'UE et les États-Unis.
Le projet de décision d'adéquation constitue une nouvelle tentative d'encadrer de manière sûre les transferts de données entre l'UE et les États-Unis, suite à l'annulation des précédentes décisions d'adéquation (respectivement le Safe Harbour et le Privacy Shield) par la Cour de justice dans les affaires Schrems.
Les premiers pas vers une nouvelle décision d'adéquation ont été faits en mars 2022 avec l'accord de principe entre la Commission européenne et les États-Unis. Cet accord a été implémenté du côté américain par l’ executive order signé par le président américain, Joe Biden, le 7 octobre 2022.
Le projet de décision d'adéquation en quelques mots
- Introduction d'un mécanisme de certification auquel les entités américaines peuvent adhérer. Pour les entreprises certifiées, la conformité au RGPD est obligatoire et exécutoire ;
- Application des principes du RGPD aux destinataires américains de données de l'UE (limitation de la finalité, intégrité, interdiction de tout traitement ultérieur incompatible, minimisation des données, exactitude, sécurité, transparence, etc.) ;
- Obligation pour les destinataires américains de données de l'UE de fournir un mécanisme d’opt out pour tout traitement ultérieur compatible ;
- Détermination de conditions strictes pour les transferts ultérieurs ;
- Mécanismes de contrôle et d'application du RGPD et de la décision d’adéquation, y compris le contrôle de la conformité par le US Department of Commerce ;
- Diverses possibilités d'action pour les personnes concernées, notamment le recours devant des tribunaux tant aux États-Unis que dans l'UE, le recours devant les autorités nationales de protection des données (avec coopération obligatoire de l'entité américaine certifiée), et la possibilité d'arbitrage contraignant devant le « panel Data Privacy Framework UE-États-Unis » ; et
- Consécration d’un chapitre sur l'accès des autorités publiques américaines aux données de l'UE.
Quelle est la prochaine étape ?
Avant que la décision finale d'adéquation puisse être adoptée et appliquée, un certain nombre d'étapes doivent encore être franchies. Le projet de décision d'adéquation a déjà été soumis pour avis au Comité européen de protection des données (CEPD). Ensuite, le projet devra être approuvé par un comité de représentants des États membres de l'Union européenne.
Max Schrems, le plaignant dans les deux affaires Schrems, a aussitôt réagit avec une déclaration sur le projet de décision. Son message est clair : selon lui, les changements semblent mineurs et ne survivront (une fois de plus) pas à un appel devant la Cour de justice.