Accord sur le libre transfert des données personnelles entre l’UE et les États-Unis : encore une partie de ping-pong ? Après le Safe Harbor en 2000 et le Privacy Shield en 2016, tous les deux invalidés, la décision d’adéquation adoptée par la Commission européenne rend le transfert de données personnelles depuis l’UE vers certains organismes américains possible depuis le 10 juillet 2023.
Bruxelles a adopté « une nouvelle décision d’adéquation » permettant le libre transfert de données personnelles vers les organisations situées aux États-Unis. Gérée par le ministère américain du commerce, une liste d’organismes agréés est désormais disponible ici. Ainsi, les collectivités peuvent de nouveau travailler sans risques pour les données personnelles avec Google, Microsoft et autres géants du numérique américain.
Alors, pourquoi cet accord est soumis à réflexion ?
Cet accord est déjà renvoyé vers la Cour de Justice de l’Union Européenne. En effet, le contenu est très similaire aux précédents textes invalidés, pourtant annoncé comme « Nouveau » ou encore « Robuste », « Efficace ». La Commission nationale de l’informatique et des libertés (CNIL) a écrit : « Les transferts de données personnelles depuis l’Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « Clauses contractuelles types » ou un instrument de transfert. »
Les défenseurs des données personnelles ont annoncé avoir plusieurs options de recours et font le nécessaire pour que la CJUE soit de nouveau saisie. Leur objectif ? Suspendre cet accord le temps de son examen.
Nous attirons votre attention sur ce point, car il faut aussi considérer que d’ici la fin de l’année, voire le début de l’année prochaine, il est très fortement probable que des procédures de recours seront déposées à la Cour de Justice de l’Union Européenne. Le texte étant quasi identique aux deux premiers, le risque d’annulation est plausible.
Donc, il appartient au Responsable de Traitement de connaître ces risques d’aller-retour autour de la conformité des traitements de données personnelles pour votre service. Il faut donc décider si la mise en place d’un outil ou d’une ressource américaine sera un atout de service public à court terme ou un frein possible dans les procédures de mise en conformité RGPD à moyen et long terme.
👉 Le service DPO du SICTIAM reste à votre écoute.
