10 juillet 2023

Vie privée et protection des données : la nouvelle décision d'ajustement UE-États-Unis de la Commission européenne

Il redevient possible d'exporter des données personnelles vers des pays américains reconnus conformes au RGPD

Drapeau Europe avec bannière GDPR cadenas

Aujourd'hui, la Commission européenne a pris une nouvelle décision d'adéquation concernant le cadre UE-États-Unis pour la protection des données à caractère personnel. Concluant que les États-Unis offrent un niveau de protection adéquat, similaire à celui de l'Union européenne, pour les données personnelles transférées de l'UE aux entreprises américaines dans le cadre du nouveau cadre. Cette décision permet un flux sécurisé de données à caractère personnel de l'UE vers les entreprises américaines qui rejoignent le cadre, sans exigences supplémentaires en matière de protection des données.

Le nouveau cadre de protection des données UE-États-Unis

Le cadre UE-États-Unis pour la protection des données à caractère personnel introduit de nouvelles mesures contraignantes pour répondre à toutes les préoccupations exprimées par la Cour de justice de l'Union européenne. Il s'agit notamment de limiter l'accès des services de renseignement américains aux données de l'UE à ce qui est nécessaire et proportionné, et de créer une Cour de révision de la protection des données (DPRC), accessible aux citoyens de l'UE. Le nouveau cadre apporte des améliorations significatives par rapport au mécanisme précédent de Privacy Shield. Par exemple, si le DPRC estime que les données ont été collectées en violation des nouvelles garanties, il peut ordonner leur suppression.

La présidente Ursula von der Leyen a déclaré: «Le nouveau cadre UE-États-Unis pour la protection des données à caractère personnel garantira des flux de données sécurisés pour les citoyens européens et apportera une sécurité juridique aux entreprises des deux côtés de l'Atlantique… Cela montre qu'en travaillant ensemble, nous pouvons s'attaquer aux problèmes les plus complexes.

Protections et obligations pour les entreprises américaines

Les entreprises américaines peuvent rejoindre le cadre UE-États-Unis pour la protection des données personnelles en s'engageant à respecter un ensemble détaillé d'obligations en matière de confidentialité. Celles-ci incluent l'obligation d'effacer les données personnelles lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées et d'assurer la continuité de la protection lorsque les données personnelles sont partagées avec des tiers.

Recours et garanties pour les citoyens de l'UE

Le cadre de protection des données à caractère personnel entre l'UE et les États-Unis introduit des garanties contraignantes innovantes pour répondre à toutes les préoccupations soulevées par la Cour de justice de l'Union européenne. Cela comprend la limitation de l'accès aux données européennes par les services de renseignement américains au montant nécessaire et proportionné, et la création d'une cour de révision de la protection des données (DPRC) spécifique, à laquelle les citoyens de l'UE pourront accéder. Le nouveau cadre apporte des améliorations significatives par rapport au mécanisme existant dans le cadre du Privacy Shield. Par exemple, si le DPRC détermine que les données ont été collectées en violation des nouvelles garanties, il peut ordonner leur suppression. Les nouvelles garanties concernant l'accès aux données par les autorités publiques viendront compléter les obligations que les entreprises américaines important des données depuis l'UE devront respecter.

Autres implications et prochaines étapes

Les garanties offertes par les États-Unis faciliteront également les flux de données transatlantiques en général, car elles s'appliquent également lorsque les données sont transférées par d'autres moyens, tels que des clauses contractuelles types et des règles d'entreprise contraignantes.

Le fonctionnement du cadre UE-États-Unis pour la protection des données à caractère personnel fera l'objet d'examens périodiques par la Commission européenne en collaboration avec des représentants des autorités européennes de protection des données et des autorités américaines compétentes.

Portée et contexte réglementaire

L'article 45, paragraphe 3, du règlement général sur la protection des données (RGPD) donne à la Commission européenne la possibilité de déterminer, par des mesures d'application, si un pays tiers offre « un niveau de protection adéquat ». Cela se traduit par une protection des données personnelles qui est essentiellement équivalente à celle garantie dans l'Union européenne. En vertu d'une décision d'adéquation, les données à caractère personnel peuvent circuler librement de l'UE (ainsi que de la Norvège, du Liechtenstein et de l'Islande) vers un pays tiers, sans rencontrer d'autres obstacles.

Reformulation du cadre réglementaire après la décision précédente

À la suite de l'annulation par la Cour de justice de l'UE du précédent accord d'adéquation du bouclier de protection des données entre l'UE et les États-Unis, la Commission européenne et le gouvernement américain ont entamé des discussions sur un nouveau cadre traitant des questions soulevées par le Tribunal.

En mars 2022, la présidente Ursula von der Leyen et le président Joe Biden ont annoncé qu'ils étaient parvenus à un accord de principe sur un nouveau cadre pour les flux de données transatlantiques, à la suite de négociations entre le commissaire Reynders et la secrétaire d'État au commerce Gina Raimondo. En octobre 2022, le président Biden a signé un décret exécutif pour renforcer les garanties applicables aux activités de renseignement électromagnétique dirigées par les États-Unis, qui a été complété par des réglementations émises par le procureur général américain Merrick Garland. Ces deux instruments, pris ensemble, ont mis en œuvre les engagements pris par les États-Unis en vertu de l'accord de principes dans le droit américain et ont étendu les obligations aux entreprises américaines qui relèvent du cadre UE-États-Unis pour la protection des données personnelles.

Principes fondamentaux du nouveau cadre réglementaire américain

Une pierre angulaire du cadre juridique américain établissant ces garanties est le décret présidentiel sur le renforcement des garanties applicables aux activités de renseignement sur les transmissions menées par les États-Unis. Cette ordonnance répond aux préoccupations exprimées par la Cour de justice de l'Union européenne dans l'arrêt Schrems II de juillet 2020.

Gestion et contrôle du cadre réglementaire

Le cadre de protection des données est géré et surveillé par le Département américain du commerce. La Federal Trade Commission des États-Unis veillera à ce que les entreprises américaines respectent les dispositions du cadre.

conclusion

En conclusion, l'adoption du nouveau cadre de protection des données entre l'UE et les États-Unis représente une avancée importante dans la protection de la vie privée des citoyens de l'UE. Des garanties contraignantes, la limitation de l'accès aux données par les services de renseignement américains et la création de la Data Protection Review Court sont des éléments cruciaux de ce nouveau système. L'évolution par rapport au précédent Privacy Shield est significative, avec l'ajout de mesures de sécurité renforcées et d'une plus grande transparence. Les entreprises américaines important des données depuis l'UE seront désormais soumises à des obligations plus strictes, assurant ainsi une meilleure protection des données personnelles des citoyens européens. Cela représente un grand pas en avant vers un avenir où la confidentialité des données sera respectée des deux côtés de l'Atlantique.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

Red Hat, Inc. détient les droits de Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale d'AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de The FreeBSD Foundation ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt. Oracle Corporation détient les droits sur Oracle®, MySQL® et MyRocks® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; REDIS® est une marque déposée de Redis Labs Ltd. F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB. Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited. Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal®. Amazon Web Services, Inc. détient les droits sur AWS® ; Google LLC détient les droits sur Google Cloud™ et Chrome™ ; Microsoft Corporation détient les droits sur Microsoft®, Azure® et Internet Explorer® ; La Fondation Mozilla détient les droits sur Firefox®. Apache® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée du groupe PHP. CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV. Hetzner Online GmbH détient les droits sur Hetzner® ; OVHcloud est une marque déposée d'OVH Groupe SAS ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Facebook, Inc. détient les droits sur Facebook®. Ce site n'est affilié, sponsorisé ou autrement associé à aucune des entités mentionnées ci-dessus et ne représente en aucune manière aucune de ces entités. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées appartiennent à leurs titulaires. MANAGED SERVER® est une marque déposée au niveau européen par MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

Retour en haut de page