Pour rappel

Les transferts de données hors Espace Économique Européen ne peuvent se faire que dans le cadre du respect du Chapitre 5 du RGPD (pour plus d’information, consultez notre webinar sur le sujet).

Suite à l’invalidation de la décision d’adéquation du Privacy Shield par la Cour de Justice de l’Union Européenne le 16 juillet 2020 (voir notre article en cliquant ici), les transferts de données à caractère personnel des États membres de l’Union européenne vers les États-Unis n’étaient plus possibles en vertu de l’article 45 du RGPD.

Cette invalidation a eu des conséquences pratiques importantes puisque de nombreuses décisions d’interdiction de transferts vers les États-Unis ont été rendues, malgré l’utilisation par les parties d’autres mécanismes prévus au Chapitre 5 qui ont été jugés insuffisants par les autorités de contrôle de la protection des données. Cette situation entrainait un risque juridique insoutenable pour les opérateurs privés et publics qui parfois devaient renoncer à des solutions techniques uniques ou meilleur marché.

La nouvelle décision d’adéquation entre les États-Unis et l’UE

La Commission européenne a adopté le 10 juillet 2023 (jour de son entrée en vigueur également) une décision d’adéquation en faveur des États-Unis au regard des modifications apportées à leur législation nationale. Comme par le passé, cette décision impose la double condition que (i) les organismes soient établis sur le territoire des États-Unis et (ii) qu’ils aient fait la démarche de respecter ce nouveau cadre sur une base annuelle. Il s’agit d’un système d’auto-certification pour les entités américaines. Il conviendra donc de vérifier périodiquement que les entités destinataires des données à caractère personnelles sont certifiées dans ce cadre (et que la certification est à jour).

Nos recommandations s’agissant des transferts continuent de s’appliquer si l’entité destinataire des données n’est pas certifiée.

Pour aller plus loin, consultez :

Vous avez des questions ? N’hésitez pas à nous contacter.