Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation pour le cadre de protection des données UE-États-Unis (en anglais « EU-US Data Privacy Framework »), qui remplace le cadre du bouclier de protection des données (en anglais « Privacy Shield ») invalidé par la Cour de justice de l’Union européenne par la décision dite « Schrems II »[1]. À compter de cette date, les transferts de l’UE vers des entités et organisations aux États-Unis qui sont incluses dans la liste du « cadre de protection des données» peuvent être fondés sur la décision d’adéquation conformément à l’article 45 du RGPD et effectués librement, sans qu’il ne soit nécessaire de s’appuyer sur les outils de transfert de l’article 46 du RGPD (tels que décrits dans la section 3 de la présente guidance) ou d’appliquer des mesures supplémentaires pour encadrer les transferts vers les États-Unis.
Le cadre de protection des données UE-États-Unis introduit un système d’autocertification, qui oblige les entités américaines à respecter les obligations et les principes de protection des données énumérés dans ce cadre, tels que la limitation de la finalité et la minimisation des données, ainsi que le respect de certains droits des personnes concernées.
Ce mécanisme ainsi que l’application du cadre juridique aux Etats-Unis d’Amérique est suivi de manière permanente par la Commission européenne et les Etats membres de l’Union européenne. Si elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission européenne peut décider de suspendre, de modifier ou d’abroger la décision d’adéquation, ou d’en restreindre le champ d’application.
Pour les entreprises basées au Luxembourg : dans quelles conditions les données peuvent-elles être transférées aux États-Unis ?
Les entreprises, associations ou autres organisations établies au Luxembourg (ou dans un autre pays de l’EEE) qui transfèrent des données vers les États-Unis devraient consulter le site web du DPF, tenu à jour et mis à la disposition du public par le ministère américain du commerce (DoC), afin de vérifier si les entreprises auxquelles des données à caractère personnel seront transférées sont certifiées et respectent à ce titre les exigences-cadres. La liste des entités certifiées est disponible sur le site web du département américain du commerce https://www.dataprivacyframework.gov/list.
Il est important de noter que les transferts de données à caractère personnel à des entités aux États-Unis qui ne figurent pas sur la liste du cadre de protection des données UE-États-Unis ne peuvent pas se fonder sur la décision d’adéquation et doivent être effectués sur la base de l’un des outils de transfert prévus à l’article 46, paragraphe 2, du RGPD (voir section « Transferts de données à caractère personnel vers des pays en dehors de l'Espace économique européen sans niveau de protection adéquat »).
Si l’entité américaine qui reçoit des données à caractère personnel aux États-Unis agit en tant que sous-traitant pour le compte de l’entité luxembourgeoise agissant en tant que responsable du traitement (par exemple, un fournisseur de services en nuage), un accord de traitement des données au titre de l’article 28 du RGPD sera requis, indépendamment de la participation de l’entreprise américaine (sous-traitant) au cadre de protection des données UE-États-Unis. De plus amples informations sur cette exigence peuvent être consultées dans la section «Contract Requirements for Data Transfers to a Processor» (Exigences contractuelles pour les transferts de données à un sous-traitant) de la FAQ – Cadre de protection des données UE-États-Unis (CPD UE-États-Unis) publiée sur le site web officiel du cadre de protection des données des États-Unis.[2]
Pour les personnes concernées établies au Luxembourg : Comment les personnes concernées peuvent-elles exercer leurs droits à l'égard d'une entreprise américaine certifiée ou déposer une plainte contre elle ?
Vous trouverez de plus amples informations sur la manière dont les personnes concernées peuvent exercer leurs droits ou déposer une plainte dans le cadre du CPD sur notre page dédiée.
[1] Cour de Justice de l’Union européenne, 16 juillet 2020, Data Protection Commissioner v. Facebook Ireland Ltd and Maximilian Schrems, affaire C-311/18.