La Commission européenne a annoncé que les États membres de l'UE devraient approuver le cadre transatlantique de protection des données, un accord volontaire qui protège les données de l'UE traitées par les entreprises américaines.
Dans un communiqué de presse, la CE a déclaré que son projet de décision d'adéquation a été "publié et transmis" au Comité européen de protection des données (EDPB) pour examen, première étape vers une adoption à part entière.
Le cadre implique que les entreprises américaines s'engagent à respecter les données de l'UE conformément à un certain nombre de principes bien établis en matière de protection des données, tels que la suppression des données lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, et le maintien d'un niveau de confidentialité lorsque les données sont transmises à des tiers.
Les décisions d'adéquation de la CE pour les États-Unis
Une décision d'adéquation est une décision de l'UE indiquant qu'un autre pays ou territoire assure un niveau de protection des données personnelles équivalent au sien, conformément à l'article 45, paragraphe 3, du règlement général sur la protection des données (RGPD).
En l'espèce, l'UE est convaincue que les entreprises américaines assurent une protection adéquate des données qu'elles traitent en provenance de l'UE, ou qu'elles le feront si elles adhèrent au cadre.
Cette dernière décision d'adéquation fait suite au travail préparatoire effectué par Joe Biden dans un décret publié en octobre 2022 (un "décret" présidentiel, en quelque sorte, qui ne nécessite pas l'approbation du Congrès mais dont la portée est limitée aux réglementations ayant un impact sur le fonctionnement du gouvernement fédéral), et aux réglementations publiées par le procureur général des États-Unis, Merrick Garland, au début de cette année.
Ensemble, ces mesures, selon la CE, lient les engagements des États-Unis dans le droit national. Certaines des mesures proposées sont, sur le papier, plutôt encourageantes.
Le décret exige, par exemple, que l'accès des services de renseignement américains aux données européennes soit "nécessaire et proportionné" à la protection de la sécurité nationale et qu'un tribunal de révision de la protection des données soit créé afin que les citoyens européens puissent contester l'utilisation de leurs données s'ils estiment qu'elle est contraire au cadre.
Toutefois, il n'y a pas lieu de se réjouir pour l'instant. Conformément au droit communautaire, la Commission européenne doit faire approuver sa décision par un comité d'États membres, puis par le Parlement européen. Toutefois, la Commission ne s'attend à aucun problème, peut-être en raison des mécanismes de contrôle visant les agences de renseignement.
En 2016, une précédente décision d'adéquation entre l'UE et les États-Unis a également été prise concernant le "cadre du bouclier de protection de la vie privée UE-États-Unis", qui était également censé garantir le passage sécurisé des données entre les entreprises de l'UE et des États-Unis.
Toutefois, la décision a été invalidée par la Cour de justice de l'Union européenne (CJUE) dans une affaire judiciaire de juillet 2020 impliquant le géant technologique Meta, des inquiétudes ayant été soulevées quant à l'accès des agences de renseignement américaines aux données.
Cela a conduit à plus d'un an de négociations entre l'UE et les États-Unis, avant l'annonce d'un nouveau cadre en mars 2022.
