Bruxelles, le 19 juillet - Lors de sa dernière réunion plénière, le comité européen de la protection des données a adopté une note d’information à l’intention des personnes et des entités qui transfèrent des données vers les États-Unis. Cette note vise à fournir des informations concises et objectives concernant les effets de la décision d’adéquation sur les transferts vers les États-Unis, les mécanismes de recours possibles au titre du cadre de protection des données (CPD), et le nouveau mécanisme de recours dans le domaine de la sécurité nationale.
Anu Talus, présidente du comité, a déclaré: «L’adoption du CPD par la Commission européenne, à la suite de l’avis du comité européen de la protection des données de février 2023, est une décision importante qui reconnaît que les données à caractère personnel peuvent désormais circuler, sans autre condition, depuis l’Espace économique européen vers les États-Unis. Il est essentiel que les personnes soient conscientes de leurs droits et que les organisations connaissent leurs obligations, ce que le comité explique dans sa note d’information. Le comité continuera d’accorder une attention particulière à la bonne mise en œuvre de ce nouvel instrument et nous nous réjouissons de pouvoir contribuer au premier examen du CPD l’année prochaine.»
La note d’information précise que les transferts fondés sur des décisions d’adéquation n'ont pas besoin d'être complétés par des mesures supplémentaires. Les transferts vers des organisations établies aux États-Unis qui ne figurent pas sur la «liste du cadre de protection des données» exigent des garanties appropriées, telles que des clauses types de protection des données ou des règles d’entreprise contraignantes. À cet égard, le comité souligne que toutes les garanties mises en place par le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s’appliquent à toutes les données transférées vers les États-Unis, quel que soit l’outil de transfert utilisé.
En outre, la note d’information précise que, dans le domaine de la sécurité nationale, les citoyens de l’UE peuvent déposer une plainte auprès de leur autorité nationale chargée de la protection des données (APD) afin d’utiliser le nouveau mécanisme de recours, quel que soit l’outil utilisé pour transférer des données à caractère personnel vers les États-Unis.
Au cours de la réunion plénière, des représentants de la Commission européenne ont également présenté le CPD et les modifications apportées à la suite de l’avis du comité européen de la protection des données.
Ensuite, le comité a adopté une déclaration sur le premier examen de la décision d'adéquation concernant le Japon. La déclaration se concentre principalement sur l’évaluation des aspects commerciaux de la décision d’adéquation concernant le Japon, étant donné que, depuis l'adoption de la décision d’adéquation, le cadre juridique japonais a connu, dans ce domaine, quelques modifications , qui l'ont rapproché du RGPD. Il s’agit notamment de l’extension du droit de s’opposer à un traitement de données, du renforcement de l’obligation de notifier toute violation de données à l’autorité japonaise de protection des données et aux personnes concernées, et de l’élargissement du champ d’application de la loi japonaise sur la protection des informations à caractère personnel (APPI) de sorte qu’elle n’exclue plus les données à caractère personnel «devant être supprimées» dans un délai de six mois.
Dans le même temps, le comité européen de la protection des données estime que certains domaines nécessitent un suivi plus étroit de la part de la Commission européenne, en particulier la nouvelle catégorie d’informations à caractère personnel «pseudonymisées» en droit japonais et le recours au consentement dans les situations de déséquilibre des rapports de force. Le comité salue l’engagement pris par la Commission européenne de suivre de près ces questions.
Dans l’ensemble, le comité approuve l’évaluation de l’examen par la Commission européenne et se félicite de la proposition de la Commission de passer à un cycle d’examen de quatre ans.
Note à l’attention des rédacteurs:
Tous les documents adoptés dans le cadre de la séance plénière du comité européen de la protection des données font l’objet des contrôles juridiques, linguistiques et de formatage nécessaires et seront publiés sur le site web du comité européen de la protection des données une fois ces contrôles effectués.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.