Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation constatant que les États-Unis garantissent un niveau de protection des données à caractère personnel équivalent à celui de l’Union européenne. Le Cadre de protection des données UE - États-Unis (en anglais EU-US Data Protection Framework, DPF) fait suite à des modifications qu’ont apportées les Etats-Unis à leur législation nationale afin de porter à un niveau approprié la protection des données personnelles transférées de l'Union européenne vers les organisations américaines.
Les organismes qui assurent les garanties contraignantes introduites par le nouveau cadre sont incluses dans une liste publique gérée par le ministère américain du commerce. Les transferts de données personnelles depuis l’UE vers les organismes figurant sur cette liste peuvent dès lors s’effectuer librement, sans que des « clauses contractuelles types » ou un autre instrument de transfert soient nécessaires.
La décision d’adéquation fait suite à l’invalidation par la Cour de justice de l’Union européenne de la précédente décision d’adéquation (Privacy Shield) en 2020 en raison de craintes d’une surveillance par les services de renseignement américains. Le nouveau cadre juridique offre des garde-fous supplémentaires en ce qui concerne l’accès des agences de renseignement américaines à des données recueillies en Europe, notamment en introduisant les concepts de nécessité et de proportionnalité.
Il donne également aux citoyens européens un recours juridique s'ils estiment que leurs données personnelles ont été illégalement collectées par les services secrets américains et leur permet d'obtenir la suppression ou la rectification de ces données, le cas échéant.
En pratique, les personnes concernées peuvent déposer une notification de violation de données auprès de leur autorité nationale de protection des données, qui veillera à ce que la notification soit correctement transmise aux États-Unis par l’intermédiaire du Comité européen de protection des données (CEPD, EDPB en anglais). L’autorité nationale assurera que la personne concernée reçoive toute information supplémentaire relative à la procédure et qu’elle soit informée de la décision finale, c’est-à-dire soit qu'aucune violation de la législation américaine n'a été identifiée, soit qu'une violation a été constatée et qu'il y a été remédié.
« Aujourd'hui, nous prenons une mesure importante pour donner confiance aux citoyens quant à la sécurité de leurs données, pour approfondir les liens économiques entre l'UE et les États-Unis et, dans le même temps, pour réaffirmer nos valeurs communes », a dit la présidente de la Commission européenne, Ursula von der Leyen (Communiqué de presse, Commission européenne, 10 juillet 2023).
La Commission européenne a publié une FAQ (en anglais) fournissant des détails sur le sujet. Le CEPD publiera de son côté des informations complémentaires sur ce sujet très prochainement.