Posted by Décision d’adéquation de la Commission européenne concernant la circulation sécurisée de données entre l’UE et les Etats-Unis : 10 juillet 2023
Par Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
Version du 24.07.023 Le 10 juillet 2023, la Commission européenne a adopté sa décision d’adéquation concernant le cadre de protection des données UE-Etats-Unis, fondée sur l’article 45 du Règlement (UE) 2016/679[1], ci-après le RGPD, concernant le niveau adéquat de protection des données à caractère personnel. Sur la base de cette décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers des entreprises américaines participant au cadre de protection des données EU-US, sans qu’il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données.
Contexte
En 2013, Edward Snowden révélait la surveillance électronique de masse des citoyens de l’Union et les programmes de surveillance de la NSA. Ces révélations ont eu un impact sur les transferts des données à caractère personnel des citoyens de l’Union européenne vers les Etats-Unis. La Cour de justice de l’Union européenne, dans son arrêt du 6 octobre 2015 dans l’affaire C-362/14, Maximillian Schrems contre Data Protection Commissioner (ci-après l’«arrêt Schrems I») a invalidé le Safe Habour, décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique , et a souligné que l’accès indifférencié, par les autorités de renseignement, au contenu des communications électroniques, porte atteinte au contenu essentiel du droit fondamental à la confidentialité des communications consacré à l’article 7 de la charte des droits fondamentaux de l’Union européenne (ci-après la «charte»). Suite à cette invalidation, la Commission européenne a adopté décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (Privacy Shield). Dans son arrêt du 16 juillet 2020, la CJUE a invalidé le Privacy Shield (C-311/18, Data Protection Commissioner Contre Facebook Ireland Ltd et Maximilian Schrems (Schrems II). Pour la CJUE, il ne prévoyait pas suffisamment de voies de recours judiciaires pour les non-ressortissants contre la surveillance de masse, ce qui porte atteinte au contenu essentiel du droit à un recours effectifs consacré à l’article 47 de la Charte. Depuis l’invalidation du “Privacy Shield”, en 2020, la Commission européenne et le gouvernement américain ont entamé des discussions sur un nouveau cadre qui réponde aux préoccupations soulevées par la Cour. En mars 2022, la présidente de la Commission européenne, Ursula von der Leyen et le président Joe Biden ont annoncé qu’ils étaient parvenus à un accord de principe.
lire la suite ….
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE