EU-US : accord historique sur la protection et l’échange de données
Pendant des années, l'Union Européenne et les États-Unis se sont appuyés sur l'accord Safe Harbor pour encadrer l’échange des données à caractère personnel entre les deux continents. En 2015, la Cour de justice de l'Union européenne a estimé que cet accord offrait trop peu de garanties pour protéger la vie privée des Européens. Sur cette base, Bruxelles et Washington ont élaboré en 2016 une nouvelle base juridique pour permettre l'échange de données. Le résultat de ces négociations s’appelait alors le Privacy Shield.
Cependant, au cours de l'été 2020, la Cour européenne a tiré un trait sur ce traité, estimant que les États-Unis n'offraient pas le même niveau de protection aux citoyens qu'en Europe. Les mesures prises par les États-Unis pour protéger les données à caractère personnel ne respectaient pas suffisamment le principe de proportionnalité voulu par le RGPD (principe selon lequel les mesures de techniques et organisationnelles pour la protection des données doivent être en adéquation et proportionnelles au risque d’accès, de divulgation, d’utilisation). En outre, selon la Cour, il est impossible pour les Européens d'influencer la manière dont les données à caractère personnel sont traitées par les institutions américaines.
Après près de trois ans de négociations, un nouveau traité sur le partage des données a été annoncé le10 juillet 2023 : le EU-US Data Privacy Framework En vertu de ce traité, les entreprises et organisations européennes peuvent transférer en toute sécurité les données personnelles des citoyens européens vers des entreprises américaines*. Aucune garantie supplémentaire ne doit être formulée pour assurer à ces données personnelles le même niveau de protection que sur le vieux continent.
Ainsi, l'un des accords limite les données que les agences de renseignement américaines peuvent collecter auprès des citoyens européens. Ces agences ne seront autorisées à consulter des données que si cela est "nécessaire et proportionné". Les services de renseignement seront également davantage contrôlés. À cette fin, une Data Protection Review Court (DPRC) sera mise en place. Il s'agit d'un organe indépendant et impartial qui veillera au respect des limites, principes et règles de ce traité par les services de renseignement
Finalement, il a été convenu que les Européens peuvent s'opposer à la collecte de leurs données à caractère personnel par les agences de renseignement américaines. Pour ce faire, ils peuvent s'adresser au Conseil Européen de la Protection des Données (CEPD), l'organisation au sein de laquelle sont représentés les régulateurs de la protection de la vie privée de tous les États membres de l'UE.
Vous souhaitez vous associer à une entreprise américaine ? Le transfert de données personnelles vers les Etats-Unis peut se faire si l’entreprise américaine bénéficie d’une adéquation sur le site du Département du Commerce des Etats-Unis, sans qu’il soit nécessaire de prévoir des clauses particulières ou des mesures de sécurité supplémentaires. Autrement, si l’entreprise avec laquelle vous souhaitez vous associer ne se trouve pas dans la liste, alors il convient de recourir aux mécanismes de transferts de données édictées par le Conseil Européen de la protection des données.
Le EU-US Data Privacy Framework est entré en vigueur dès le 10 juillet 2023. Il sera examiné à nouveau dans un an et des représentants des régulateurs européens et américains dresseront un bilan sur le fonctionnement et la mise en pratique de ce traité.
DPO Paradigm,
Bruxelles, 12/07/2023
*Consultez la liste des entreprises américaines qui sont en adéquation avec le « Data Privacy Framework » : Lien externeParticipant Search (dataprivacyframework.gov)