La Commission estime que les flux de données à caractère personnel de l'UE peuvent se poursuivre avec 11 pays et territoires tiers.
Ce 15 janvier, la Commission européenne a achevé avec succès le réexamen de 11 décisions d'adéquation existantes. Ces décisions avaient été adoptées en vertu de la législation de l'UE en matière de protection des données qui a précédé le règlement général sur la protection des données (RGPD).
Věra Jourová, vice-présidente chargée des valeurs et de la transparenceLes décisions d’adéquation ont posé les bases de la coopération et de la convergence entre l’UE et des partenaires animés du même esprit. Ensemble, nous concentrons nos efforts sur un développement de l’économie numérique qui soit centré sur l’humain et démocratique, et qui permette aux données à caractère personnel de circuler librement et en toute sécurité.
Didier Reynders, commissaire à la justiceDans le monde actuel, les flux de données transfrontières font partie intégrante de notre économie et de notre quotidien. Je me réjouis vivement que les 11 pays et territoires concernés par ce réexamen aient rendu leurs régimes de protection des données encore plus proches de la nôtre. Nos décisions d’adéquation constituent le plus vaste réseau du monde permettant la circulation sécurisée et libre des données. Nous intensifierons notre collaboration avec nos partenaires internationaux afin de développer encore ce réseau.
Dans son rapport, la Commission constate que les données à caractère personnel transférées de l'Union européenne vers l'Andorre, l'Argentine, le Canada, les Îles Féroé, Guernesey, l'Île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay continuent de bénéficier de garanties adéquates en matière de protection des données. Par conséquent, les décisions d'adéquation adoptées pour ces 11 pays et territoires sont maintenues et les données peuvent continuer à circuler librement vers ceux-ci. Le réexamen a démontré que les cadres de protection des données en vigueur dans ces pays et territoires ont continué de converger vers le cadre de l'UE et ont renforcé la protection des données à caractère personnel auxquelles ils s'appliquent.
Le RGPD a inspiré des changements positifs tels que l'introduction de nouveaux droits pour les particuliers, le renforcement de l'indépendance et des pouvoirs des autorités chargées de faire respecter la législation sur la protection de la vie privée ou la modernisation des règles relatives aux transferts internationaux.
Les rapports par pays montrent que, depuis l'adoption des décisions d'adéquation en vertu de la directive de 1995 sur la protection des données, les différents pays et territoires ont mis en œuvre une vaste modernisation de leur législation en matière de la protection de la vie privée. Ils ont poursuivi l'alignement de leurs cadres sur le RGPD ou mis en place des réformes spécifiques, qui ont sensiblement renforcé les garanties en matière de données à caractère personnel. Ces réformes ont, par exemple, renforcé l'indépendance et les pouvoirs d'exécution des autorités chargées de la protection des données.
Afin de combler certaines lacunes au regard du cadre de l'UE en matière de protection de la vie privée, certains pays ont mis en place des garanties spécifiques visant à renforcer la protection des données à caractère personnel transférées depuis l'Espace économique européen, et notamment à faciliter l'exercice, par les citoyens de l'Union, de leurs droits.
Le réexamen a également montré que les pouvoirs publics de ces 11 pays et territoires étaient soumis à des garanties appropriées dans le domaine de l'accès aux données, en particulier pour des raisons de respect des lois ou de sécurité nationale, dont disposent les pouvoirs publics. Cela inclut des mécanismes de surveillance et de recours effectifs.
La Commission continuera de suivre l'évolution de la situation dans les pays et territoires concernés, en particulier dans les cas où des réformes législatives supplémentaires sont en cours. Le RGPD impose à la Commission de réexaminer périodiquement les décisions d'adéquation.
Contexte
Après l'entrée en application du règlement RGPD en mai 2018, les décisions d'adéquation adoptées en vertu de la directive sur la protection des données sont restées en vigueur. Dans le même temps, le RGPD précise que les décisions d'adéquation constituent des «instruments vivants» et impose à la Commission de les réexaminer périodiquement.
Dans le cadre de son premier réexamen, la Commission a évalué l'évolution des cadres de protection des données des pays et territoires depuis l'adoption des décisions d'adéquation, et a aussi examiné les règles mises en place concernant l'accès des pouvoirs publics aux données pour des raisons de respect des lois ou de sécurité nationale.
En cas d'évolution, dans un pays ou un territoire, qui serait susceptible d'avoir une incidence négative sur le niveau de protection des données, la Commission a le pouvoir de suspendre, de modifier ou de retirer une décision d'adéquation.
En tout, 16 décisions d'adéquation sont en vigueur, respectivement pour l'Andorre, l'Argentine, le Canada (organisations commerciales), les Îles Féroé, Guernesey, Israël, l'Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni (au titre du RGPD et de la directive en matière de protection des données dans le domaine répressif) , les États-Unis (pour les organisations commerciales certifiées au titre du cadre de protection des données UE - États-Unis) et l'Uruguay.
En 2019, l'UE et le Japon ont mutuellement reconnu leurs systèmes de protection des données comme «équivalents», permettant ainsi aux données à caractère personnel de circuler librement entre eux. Cette décision a instauré le plus grand espace de libre circulation sécurisée des données au monde. En juin 2023, l'UE a adopté des décisions d'adéquation pour le Royaume-Uni et, en janvier 2022, pour la Corée du Sud. En juillet 2023, la Commission européenne a adopté sa décision d'adéquation concernant le cadre de protection des données UE - États-Unis.
Un premier réexamen de l'accord avec le Japon s'est conclu par l'adoption d'un rapport en avril 2023, et la Commission surveille également l'application des accords en vigueur avec le Royaume-Uni et les États-Unis.
Adéquation en matière de protection des données pour les pays non membres de l'UE