Le 10 juillet 2023, une décision d'adéquation de la Commission européenne est intervenue, constatant que le niveau de protection offert par le cadre de protection des données UE-États-Unis (CPD/ DPF) est substantiellement équivalent à ce qu'il est dans l'UE, sous l'égide du Règlement général sur la protection des données (RGPD).
Un an après, une évaluation conjointe du nouveau cadre est menée par la Commission, les CNIL européennes (CEPD : comité européen de protection des données) et le régulateur des États-Unis. Ce processus se conclura par la publication d'un rapport de la Commission européenne.
Le fonctionnement du nouveau cadre de transfert de données
Le nouveau cadre permet le transfert transatlantique de données sous certaines conditions, conformément à l'article 45 du RGPD.
Le CPD/ DPF comporte un système d'auto certification des entités qui importent des données. Seuls les transferts de données à des entités certifiées ne nécessitent pas d'outil d'encadrement des transferts (article 46 du RGPD) voire de dérogation (article 49 du RGPD).
Réciproquement, dans l'UE, les entreprises, administrations et collectivités soumises au RGPD peuvent désormais transmettre des données aux organismes américains certifiés ayant adhéré au nouveau cadre légal.
Il revient à leur exportateur de vérifier que la nature des données traitées et les entités concernées sont couvertes par la certification, en se reportant à la liste du ministère du commerce américain.
Les garanties mises en place par le gouvernement des États-Unis dans le domaine de la sécurité nationale s'appliquent à tous ces transferts de données.
L'annulation du précédent cadre par la justice européenne
La décision d'adéquation du précédent cadre transatlantique d'échange de données personnelles a été annulée par la Cour de justice de l'Union européenne (CJUE). En effet, l'arrêt "Schrems II" du 16 juillet 2020 relevait des atteintes disproportionnées aux exigences de la Charte des droits fondamentaux (respect de la vie privée, protection des données), en raison des collectes opérées par les services de renseignement, d'une part, et de voies de recours insuffisantes, d'autre part.
Les mécanismes de recours garantis
Plusieurs mécanismes de résolution des litiges sont prévus :
- en premier recours, auprès de l'organisme lui-même ;
- via les autorités européennes de protection des données personnelles, dont la Commission nationale informatique et libertés (CNIL) ;
- par saisine de l'autorité étatsunienne compétente, notamment la FTC (Federal trade commission) ou le ministère des transports.
Par ailleurs, un mécanisme de recours indépendant et impartial, exclusivement lié à la collecte et au traitement de données personnelles par les agences de renseignement américaines, a été crée, auprès d’une Cour de contrôle de la protection des données.
Un an après son entrée en vigueur, le département du commerce américain tire un bilan positif de l'application du CPD/ DPF : les flux de données personnelles, mieux protégés, ont soutenu 1 000 milliards de dollars de commerce et d'investissement.
