"1.Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique."
À l’heure actuelle, aucune décision d’adéquation n’existe entre l’UE et les USA, imposant donc aux importateurs et exportateurs de données de se tourner vers d’autres bases juridiques pour fonder leurs transferts de données vers les USA (ex : règles d’entreprises contraignantes, clauses types publiées par la Commission complétées si nécessaires par des mesures additionnelles, etc.). L’utilisation de ces autres bases juridiques génère cependant plus d’incertitudes qu’une décision d’adéquation.
Par le passé, deux décisions d’adéquation pour les transferts de données vers les USA avaient été adoptées par la Commission européenne : le « Safe Harbor » en premier lieu ainsi que le « Privacy Shield » dans un second temps. Ces décisions avaient cependant été contestées par le célèbre activiste autrichien, Max Schrems, devant la Cour de justice. Suite à ces recours, la CJUE a successivement invalidé les décisions d’adéquation prises par la Commission européenne, considérant que le « Safe Harbor »[1] ainsi que le « Privacy Shield »[2] n’offraient pas des garanties de protection adéquates pour les données transférées.
La Commission européenne a indiqué que l’accord se limite pour le moment à un accord de principe. Le contenu concret de celui-ci n’est donc pas encore connu. Max Schrems, en réaction à cette annonce, a déjà indiqué que cet accord serait probablement contesté devant la CJUE si il s’avère après analyse que l’accord ne garantit pas une protection appropriée des données transférées4.
L’avenir nous dira donc si cette troisième décision d’adéquation permettra de pallier aux faiblesses constatées par la CJUE vis-à-vis des deux précédentes décisions d’adéquation, ou si cette troisième décsion connaîtra le même sort que le « Safe Harbor » ainsi que le « Privacy Shield ».
Guillaume Pomes
1Commission européenne, Press realease : « European Commission and United States Joint Statement on TransAtlantic Data Privacy Framework Brussels », 25 March 2022.
2CJUE, C-362/14, arrêt du 6 octobre 2015, Maximillian Schrems contre Data Protection Commissioner.
3CJUE, C-311/18, arrêt du 16 juillet 2020, Data Protection Commisssioner contre Facebook Ireland Ltd et Maximillian Schrems.
4Déclaration de Max Schrems suite à l’annonce de l’accord de principe : « (…). "The final text will need more time, once this arrives we will analyze it in depth, together with our US legal experts. If it is not in line with EU law, we or another group will likely challenge it. In the end, the Court of Justice will decide a third time. We expect this to be back at the Court within months from a final decision. (…) ».Consultable sur : https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems
