Nouvelle décision de la Commission Européenne sur le transfert des données personnelles vers les Etats Unis
31 / 07 / 2023
Pour rappel, les transferts des données personnelles en dehors de l’Union Européenne sont par principe interdits. Par exception, un tel transfert peut être réalisé si au moins l’une des conditions suivantes est justifiée :
- Le Commission européenne a adopté une décision d’adéquation constatant l’existence de garanties équivalentes à celles du droit européen dans l’Etat destinataire des données personnelles ;
- De telles garanties sont rendues obligatoires par un accord contraignant, lequel doit avoir été, a minima, validé par la CNIL (clause contractuelle type, dispositions conventionnelles ad hoc ou code de conduite, « binding corporates rules », règles d’entreprise…
- Une dérogation spécifique telle que prévue par l’article 49 du RGPD.
Dans une décision du 10 juillet 2023, la Commission européenne a prononcé une décision d’adéquation s’agissant des données transférées vers les Etats Unis.
Cette décision fait suite à l’invalidation par la Cour de justice de l’UE de la précédente décision d’adéquation (Privacy Shield). Les Etats Unis ont réagi en modifiant leur législation nationale, laquelle devrait désormais permettre d’assurer un niveau de protection adéquat des données personnelles transférées de l’UE vers les Etats Unis.
Attention toutefois, cela ne signifie pas que les transferts de données personnelles peuvent être réalisés vers n’importe quelle entité située sur le territoire des Etats Unis. Avant de procéder au transfert, vous devez nécessairement vérifier que l’entité destinataire des données s’est engagée à adhérer au cadre légal validée par la décision d’adéquation. Cette vérification peut être réaliser directement sur la liste mise à disposition sur le site du Département du Commerce des Etats Unis.
La CNIL a publié une première série de questions/réponses afin de comprendre les conséquences de cette nouvelle décision.