Le 13 décembre 2022, la Commission européenne a publié son projet de décision d’adéquation concernant le cadre de protection des données à caractère personnel UE-États-Unis (« DPF UE-États-Unis ») qui, une fois officiellement adopté, reconnaîtrait que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel transférées de l’UE aux organisations certifiées en vertu du DPF UE-États-Unis.
Le projet de décision fait suite à la publication du décret 14086 sur le renforcement des garanties pour les activités de renseignement des États-Unis (« EO 14086 ») par le président Biden le 7 octobre 2022, et à l’accord politique conclu entre l’UE et les États-Unis en mars 2022.
Le 14 février 2023, dans un projet de résolution sur le degré de protection adéquat offert par le cadre proposé entre l’UE et les États-Unis en matière de protection des données, la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a vivement recommandé à la Commission européenne de ne pas adopter de décision d’adéquation fondée sur le cadre, au motif qu’il « ne crée pas d’équivalence réelle » avec l’UE en ce qui concerne le niveau de protection des données qu’il offre.
Un vote complet du Parlement sur la résolution est attendu dans les prochains mois, mais même si elle est adoptée, la résolution ne sera pas contraignante pour la Commission européenne en ce qui concerne sa décision d’adéquation.
Le Comité a soulevé diverses objections à l’égard du Cadre, entres autres, même si l’Executive Order 14086 fait référence aux principes de proportionnalité et de nécessité, les définitions substantielles de ces concepts, et leur interprétation probable en vertu du droit américain, sont en décalage avec leur signification et leur interprétation dans l’UE.
Le président américain conserve la possibilité de modifier le décret, ce qui signifie que son application n’est pas claire, précise ou prévisible.
Dans ses conclusions, le Comité a réitéré sa demande antérieure à la Commission « de ne pas adopter de nouvelle décision d’adéquation en ce qui concerne les États-Unis, à moins que des réformes significatives ne soient introduites, en particulier à des fins de sécurité nationale et de renseignement ».
Le projet de décision d’adéquation ayant été soumis au Comité européen de protection des données (« EDPB »), la Commission européenne demandera l’approbation d’un comité composé de représentants des États membres de l’UE.
En outre, le Parlement européen dispose d’un droit de regard sur le processus. L’adoption par la Commission européenne d’une décision finale d’adéquation est prévue pour la mi-2023.
Une fois finalisée, l’application de la décision d’adéquation dépendra de la mise en œuvre par le gouvernement américain du décret-loi 14086, notamment de la mise en place d’un processus de soumission de plaintes admissibles, de la mise à jour des politiques et procédures des agences de la communauté du renseignement américain conformément au décret-loi, et de la désignation de l’UE en tant qu’État admissible à partir duquel les personnes peuvent soumettre des plaintes pour obtenir réparation.
