Décisions de la Commission européenne relatives au niveau de protection adéquat des données

Les compétences de la Commission européenne d’évaluer si un pays non membre de l’EEE offre un niveau adéquat de protection des données personnelles découle de l’article 45 du règlement (UE) 2016/679 (RGPD).

La procédure d’adoption d’une telle décision au niveau de l’UE passe par les phases suivantes :

– élaboration d’une proposition par la Commission européenne ;

– obtention d’un avis du Comité européen de la protection des données ;

– approbation par les représentants des Etats membres de l’UE ;

– adoption de la décision par la Commission européenne.

A tout moment, le Parlement européen et le Conseil de l’UE peuvent demander à la Commission européenne de maintenir, de modifier ou de retirer la décision d’adéquation au motif de dépassement des compétences énoncées dans le règlement.

Après l’adoption d’une décision d’adéquation, les données personnelles peuvent être transférées librement depuis l’EEE vers des pays tiers, sans qu’il y ait besoin de garanties supplémentaires : autrement dit, ces transferts seront considérés comme réalisés en interne au sein de l’EEE.

La reconnaissance d’un niveau d’adéquation de la protection des données personnelles peut inclure l’ensemble du territoire du pays tiers, certains responsables du traitement et leur domaine d’activité (en vertu d’une législation spécifique, y compris une loi nationale sur la protection des données), certains programmes d’échange de données ou types de traitements.

Au stade actuel, la Commission européenne a adopté des décisions d’adéquation à l’égard des 12 pays suivants (par ordre alphabétique) : Principauté d’Andorre, République Argentine, Canada, Iles Féroé, île de Guernesey, Israël, Japon, île de Jersey, île de Man, Nouvelle-Zélande, Confédération suisse et République orientale d’Uruguay, Royaume-Uni,ainsi que l’Organisation européenne des brevets.

Les décisions prises sont sans préjudice de l’échange d’informations en matière répressive conformément à l’article 36 de la directive (UE) 2016/680.

S’agissant des Etats-Unis, en 2016, la Commission européenne a adopté une décision d’adéquation de la protection offerte par le Bouclier de protection des données UE-Etats-Unis (EU-U.S. Privacy Shield), qui a été invalidée par un arrêt de la Cour de justice de l’UE du 16 juillet 2020. Voilà pourquoi le transfert de données depuis un Etat membre de l’EEE vers les Etats-Unis doit être effectué au moyen d’un outil alternatif de transfert de données vers des pays tiers, choisi par le responsable du traitement / le sous-traitant conformément aux possibilités prévues au chapitre V du RGPD.

Des négociations sont actuellement en cours avec la Corée du Sud et le 19 février 2021, une procédure d’adoption de deux décisions d’adéquation concernant les transferts de données personnelles vers le Royaume-Uni, conformément au RGPD et à la Directive (UE) 2016/680 (Law Enforcement Directive), a été lancée.

Décisions de niveau de protection adéquat des données personnelles, adoptées par la Commission européenne au 20 avril 2021 :

1. Décision de la Commission du 19 octobre 2010 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré en Andorre

2. Décision de la Commission du 30 juin 2003 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par l`Argentine

3. Décision de la Commission du 21 novembre 2003 constatant le niveau de protection adéquat des données à caractère personnel à Guernesey

4. Décision de la Commission du 8 mai 2008 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré à Jersey

5. Décision de la Commission du 31 janvier 2011 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par l’État d’Israël concernant le traitement automatisé des données à caractère personnel

6. Décision de la Commission du 20 décembre 2001 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la loi canadienne sur la protection des renseignements personnels et les documents électroniques

7. Décision de la Commission du 28 avril 2004 constatant le niveau de protection adéquat des données à caractère personnel dans l’île de Man

8. Décision d`exécution de la Commission du 19 décembre 2012 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la Nouvelle-Zélande

9. Décision d’exécution de la Commission du 21 août 2012 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la République orientale de l’Uruguay concernant le traitement automatisé des données à caractère personnel

10. Décision de la Commission du 5 mars 2010 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat assuré par la loi des Îles Féroé relative au traitement des données à caractère personnel

11. Décision de la Commission du 26 juillet 2000 relative à la constatation, conformément à la directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse