La commission a constaté que ce nouveau cadre apporte un niveau de protection suffisant, autorisant ainsi les transferts de données à caractère personnel vers certaines organisations situées aux Etats-Unis sous réserve du respect de ce nouveau « cadre de protection des données ». Ce cadre est encore une fois basé sur un système de certification/déclaration par lequel les organisations américaines s’engagent à respecter les principes de protection. Ces principes figurent en Annexe 1 de la Décision.
Celui-ci intègre de nouvelles garanties en réponse aux points soulevés par la Cour Européenne dans sa décision Schrems II, notamment en veillant à ce que les agences de renseignement américaines ne puissent accéder aux données que si cela est nécessaire et proportionné, ou en établissant un mécanisme de recours indépendant et impartial pour traiter et résoudre les plaintes des Européens concernant la collecte de leurs données à des fins de sécurité nationale.
Avant d’utiliser des données à caractère personnel pour une nouvelle finalité ou une finalité modifiée (mais toujours compatible avec la finalité initiale), ou avant de les divulguer à un tiers, l’organisation doit donner aux personnes concernées la possibilité de s’y opposer (opt-out), par le biais d’un mécanisme clair, visible et facilement accessible.
Le Ministère américain du commerce va mettre à disposition une liste de ces organisations afin d’identifier celles qui adhèrent aux principes, régulièrement ajournée.
Sur la base de la nouvelle décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines participant au cadre, sans qu’il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données.
Exit donc les CCT.
Charlotte GALICHET
Pauline LEYVAL