Décision d’adéquation pour les transferts de données vers les Etats-Unis

Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation pour les Etats-Unis, le « EU-US Data Privacy Framework » (ci-après "DPF").

Le DPF permet d’exporter des données vers les organisations reprises dans la « Data Privacy Framework List » sans devoir faire appel à des outils de transferts tels que prévus à l’article 46 du RGPD ou devoir adopter des mesures qui complètent les instruments de transferts (voir les Recommandations 01/2020 de l’EDPB sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE). Le responsable du traitement qui transfère des données personnelles vers des organisations non listées devra toujours mettre en place les outils de transferts nécessaires pour garantir aux données un niveau de protection adéquat tel que prévu par le RGPD, par exemple via des clauses contractuelles types ou des règles d’entreprise contraignantes (voir les Recommandations 01/2020 de l’EDPB). La liste des organisations couvertes par le Data Privacy Framework est rendue accessible sur un site web dédié.

La décision prévoit également que les personnes dont les données sont transférées aux États-Unis sur la base de la décision d'adéquation disposent de plusieurs voies d’actions si elles estiment que l'organisation américaine concernée ne respecte pas le DPF. La manière d’exercer vos droits et d’introduire une plainte est détaillée dans les onglets ci-dessous.

Cette décision d’adéquation intervient après que deux autres décisions d’adéquation (le Safe Harbor et le Privacy Shield) aient été invalidées par la Cour de Justice de l’Union Européenne dans le cadre des arrêts dits « Schrems I » et « Schrems II ».

Pour plus d’informations sur le Data Privacy Framework, consultez :

Pour plus d’informations sur les transferts de données en général, consultez notre dossier thématique « Flux internationaux de données ».

Vous trouverez ci-dessous la marche à suivre pour exercer vos droits quant aux aspects commerciaux du DPF.

  1. Contactez l’organisation concernée pour tenter de résoudre votre problème. La liste des organisations qui participent au DPF est accessible via ce lien : Data Privacy Framework list.
  2. Si votre problème n’est pas résolu après ce premier contact, ou si vous avez des raisons de ne pas contacter directement l’organisation, vous pouvez prendre contact avec l’APD. Afin de démontrer pourquoi vous estimez qu’une organisation a violé ses obligations ou vos droits en vertu du DPF, il vous sera demandé de fournir à l’APD un certain nombre d’informations qui sont reprises dans ce formulaire (version originale en anglais / version traduite). L’utilisation du formulaire n’est pas obligatoire mais votre plainte sera irrecevable si elle ne contient pas tous les éléments requis. Votre demande (accompagnée le cas échéant du formulaire) doit être envoyée à l’adresse suivante : contact@apd-gba.be  

Une fois votre plainte reçue et recevable, deux scénarios sont envisageables :

  • Si votre plainte concerne le traitement de données relatives aux ressources humaines collectées dans le cadre d’une relation de travail, OU si l’organisation en question s’est engagée volontairement à coopérer avec les autorités de protection des données, un « panel indépendant d’autorités » sera mis en place afin de traiter la plainte et coordonner la procédure. Durant celle-ci, les deux parties pourront faire valoir leurs arguments, suite à quoi le panel pourra rendre un avis contraignant pour les organisations américaines. Vous trouverez des informations complémentaires concernant la procédure du panel dans les « règles de procédure » (version originale en anglais / version traduite).  
  • Si votre plainte ne concerne pas le traitement de données relatives aux ressources humaines collectées dans le cadre d’une relation de travail et si l’organisation en question ne s’est pas engagée à coopérer avec les autorités de protection des données, l’APD devra en principe transmettre votre plainte aux autorités américaines compétentes.

Vous pouvez également consulter les FAQ de l’EDPB bientôt disponibles (pour professionnels / pour citoyens) pour davantage d’informations sur le DPF et les mécanismes de recours mis en place. Elles sont disponibles uniquement en anglais.

Vous trouverez ci-dessous des explications sur le mécanisme de recours en cas de violation présumée de la législation américaine concernant les données collectées par les autorités américaines compétentes en matière de sécurité nationale.

Le DPF établit également une nouvelle procédure de recours qui permet aux personnes concernées de déposer une plainte en cas d’allégation de traitement illicite de vos données à caractère personnel par les services de renseignement américains.

Ce mécanisme de recours s’applique à tous types de transferts effectués depuis le 10 juillet 2023 à partir de l’UE vers les Etats-Unis. Attention, il ne concerne toutefois que le domaine de la sécurité nationale.

Afin de faire usage de la possibilité de déposer une plainte via l’APD, vous devez utiliser le formulaire de plainte (version originale en anglais /version traduite) prévu à cet effet. Une fois complété, le formulaire doit être envoyé à l’adresse suivante : contact@apd-gba.be.

Une fois votre plainte reçue, l’APD la transmettra aux autorités compétentes aux Etats-Unis par l’intermédiaire de l’EDPB. C’est là que les plaintes seront examinées et qu’une décision sera prise.

Afin d’obtenir des renseignements plus complets sur cette procédure, nous vous invitons à consulter la note d’information du mécanisme de recours du DPF (version originale en anglais / version traduite).

L’EDPB a également rédigé des règles de procédure pour le traitement de ces plaintes. Le document est uniquement disponible en anglais.