Plus d’un an après la première annonce du cadre transatlantique de protection des données personnelles, la Commission européenne a adopté sa décision d’adéquation sur le cadre UE-États-Unis de protection des données personnelles le 10 juillet 2023 [1]. Par cette décision, la Commission européenne constate que les États-Unis assurent désormais un niveau de protection adéquat – par rapport à celui de l’UE – des données à caractère personnel transférées de l’UE vers les organisations situées aux États-Unis lorsqu’elles font la démarche de respecter ce nouveau « cadre de protection des données ».
Dans ce nouveau cadre, les entreprises américaines peuvent auto-certifier leur participation en s’engageant à respecter un ensemble détaillé d’obligations en matière de protection de la vie privée qui, sans surprise, s’alignent en grande partie sur les principes du règlement général sur la protection des données (RGPD). La liste de ces organismes est gérée et publiée par le ministère américain du commerce [2].
Les transferts de données personnelles depuis l’Union européenne vers les entreprises organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert [3].
Cet agrément devrait permettre de répondre aux challenges que les organismes et entreprises de recherche médicale, ainsi qu’un large éventail de prestataires de soins de santé rencontrent fréquemment lorsqu’ils transfèrent des données de santé de l’Europe vers les États-Unis.
Références:
2. Data Privacy Framework Program | U.S. Department of Commerce
Rédacteur :
Karim Belarbi, Attaché pour la Science et la Technologie au Consulat Général de France à Los Angeles, [email protected]