C’est officiel : le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation avec les États-Unis aux termes de laquelle elle conclut que les États-Unis garantissent « un niveau de protection adéquat »[1] des données à caractère personnel, similaire à celui de l’Union européenne (UE).
Cette décision était pour le moins attendue suite à l’invalidation du « Privacy Shield » par la Cour de justice de l’Union européenne (CJUE) dans l’arrêt dit « Schrems II »[2], rendu le 16 juillet 2020.
Sur la base de cette nouvelle décision d’adéquation, les transferts de données personnelles depuis l’UE vers les organismes étasuniens s’engageant à respecter ce nouveau « cadre de protection des données », pourront s’effectuer librement et en toute sécurité, sans avoir à mettre en place des garanties supplémentaires en matière de protection de données, telles que des « clauses contractuelles types ».
Comme le précise la CNIL[3], la liste des organismes concernés n’est pas encore parue mais sera prochainement rendue publique par le ministère américain du commerce[4].
Notons en outre que la décision d’adéquation prend le soin de limiter l’accès aux données de l’UE par les services de renseignements américains « à ce qui est nécessaire et proportionné », conformément aux préoccupations soulevées par le passé par la CJUE.
[1] Décision d’adéquation pour le cadre de confidentialité des données UE-États-Unis – Point 7 de l’introduction.
[2] CJUE, aff. C‑311/18 du 16/07/2020 (Schrems II).
[3] Article CNIL « Invalidation du Privacy shield : les suites de l’arrêt de la CJUE ».
[4] https://www.dataprivacyframework.gov/s/participant-search.
