Une décision d'adéquation est un acte de l'exécutif européen, la Commission européenne (CE), qui reconnaît que le droit d'un pays tiers (hors UE) offre un niveau de protection des données personnelles compatible avec celui de l'UE, ce qui permet d'y transférer des données persos sans frein (article 45 du RGPD).
En 2015, la Cour de Justice de l'UE (CJUE) a invalidé le Safe Harbor, nom donné à la décision d'adéquation des États-Unis prise par la CE à la fin des années 90. Arrêt dit « Schrems I ».
Les États-Unis et la CE négocient rapidement sa successeure, la décision d'adéquation nommée Privacy Shield. La CJUE l'invalide en 2020 (arrêt dit « Schrems II »).
Depuis, une nouvelle décision d'adéquation est en négociation.
Biden a pris un décret présidentiel afin de rendre les pratiques de ses services de renseignement conformes aux attendus de la CJUE, permettant à la CE de prendre une nouvelle décision d'adéquation.
D'après une première analyse de NOYB, si ce décret présidentiel reprend le vocabulaire clé de l'UE, il en change le sens. « Proportionnalité » s'entend toujours comme « aussi adapté que possible ». « Recours juridictionnel effectif » s'entend toujours comme un recours devant une Cour qui dépend de l'exécutif et qui adresse des réponses automatiques sans débat (en première instance). Donc, a priori, les critères posés par la CJUE ne sont toujours pas satisfaits.
Depuis ce décret présidentiel, la CE peut prendre une nouvelle décision d'adéquation. Elle est attendue pour le printemps 2023.
Deux notes :
However, the US takes the view that foreigners don't have privacy rights. I doubt that the US has a future as the cloud provider of the world, if non-US persons have no rights under their laws.