Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation

Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation concernant les États-Unis.

Par cette décision, la Commission décide que les modifications apportées par les États-Unis à leur législation nationale permettent désormais d’assurer un niveau de protection adéquat des données personnelles transférées de l'UE vers les organisations situées aux États-Unis lorsqu’ils font la démarche de respecter ce nouveau « cadre de protection des données ». La liste de ces organismes est gérée et publiée par le ministère américain du commerce.

Les transferts de données personnelles depuis l'Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert.

Cette décision fait suite à l’invalidation par la Cour de justice de l’Union européenne de la précédente décision d’adéquation (Privacy Shield).

La Commission européenne avait auparavant soumis un projet de décision d’adéquation au Comité européen à la protection des données (CEPD) qui avait rendu un avis le 28 février 2023.

La Commission européenne a publié une FAQ (en anglais) explicitant les conséquences de cette décision d’adéquation.