Transferts de données aux USA : nouvel épisode d’une histoire mouvementée

L’Union européenne (UE) s’est dotée en 2016 d’un cadre juridique exigeant pour la protection des droits de ses ressortissants : le Règlement général sur la protection des données (RGPD). Une fois ce cadre établi, il est important pour l’UE de s’assurer que les droits des Européens sont respectés, même en dehors des frontières de l’Europe…

Transferts de données : les USA à nouveau en adéquation

La limitation des transferts de données personnelles dans des pays tiers à l’Union européenne (UE) n’est pas née avec le Règlement général sur la protection des données (RGPD). Depuis 1998, il est interdit de transférer des données personnelles aux entreprises de pays tiers s’il n’est pas établi que ce pays propose un niveau de protection au moins équivalent à celui proposé dans l’UE.

Le Safe Harbor, une politique de gestion des données mise en place par les États-Unis, avait permis la reconnaissance d’un niveau de sécurité suffisant pour que le transfert des données personnelles des Européens puisse être envisagé vers des structures étasuniennes.

Cependant, en 2015, la Cour de Justice de l’Union européenne (CJUE) se prononce contre le Safe Harbor et invalide l’accord en place.

De nouvelles négociations entre l’UE et les États-Unis aboutissent, en 2016, à un nouvel accord : le Privacy Shield.

Cependant, ce nouvel accord ne connaîtra pas une grande longévité puisqu’il est invalidé par la CJUE dès 2020.

Depuis, les entreprises opérant des transferts vers des entités étasuniennes doivent s’assurer individuellement de la bonne protection des données personnelles.

Les Binding corporate rules (BCR) ou « règles d’entreprises contraignantes » peuvent ainsi être utilisées par un groupement d’entreprises engagées dans une activité économique commune, une fois approuvées par le Comité européen de la protection des données (CEPD). Ces règles permettent aux entreprises du groupe de transférer des données entre elles avec l’assurance, pour les personnes concernées, qu’une sécurité équivalente aux règles du RGPD est respectée.

Autre méthode : il est possible de recourir aux clauses contractuelles types (CCT), un corpus de clauses qui, inséré dans les contrats, permet de garantir conventionnellement une sécurité suffisante.

Néanmoins, le 10 juillet 2023, la Commission européenne a adopté une décision reconnaissant comme adéquat la nouvelle politique des États-Unis en matière de protection des données personnelles, et a ainsi ouvert la porte à des transferts simplifiés outre-Atlantique.

Le ministère américain du commerce devra prochainement publier une liste recensant l’ensemble des entreprises étasuniennes offrant des garanties suffisantes aux termes de cette nouvelle politique.

La Commission nationale de l’informatique et des libertés (CNIL) publie une foire aux questions (FAQ) permettant de comprendre en détail les changements apportés par cette décision.

S’il ne sera plus obligatoire d’avoir recours aux BCR et CCT, leur utilisation reste néanmoins possible. D’autant que ce nouvel accord entre l’UE et les États-Unis n’est pas unanimement bien accueilli par les spécialistes.

Le collectif à l’origine de la chute du Privacy Shield a d’ores et déjà annoncé qu’il était prêt à s’opposer à ce dispositif devant la CJUE dès son entrée en vigueur. Affaire à suivre…

Transferts de données aux USA : nouvel épisode d’une histoire mouvementée – © Copyright WebLex

Partager cet article
Inscrivez vous à la newsletter
Restez informé à chaque instant
Découvrez nos derniers articles
Actualités

Contrôle des demandes de remboursement de TVA : sur place ?

Dans certaines situations, une entreprise peut demander à l’administration fiscale le remboursement de la TVA qu’elle n’a pas pu déduire. Dans ce cadre, l’administration est autorisée à se rendre dans les locaux de l’entreprise pour instruire cette demande. Explications.

Lire plus »
Actualités

Acceptation tacite de la succession : une menace pour les soignants ?

Lors du décès d’un proche, les héritiers ont le choix d’exprimer leur volonté d’accepter ou non la succession. Mais certaines de leurs actions peuvent également entrainer une acceptation tacite de la succession. Une possibilité qui peut mettre dans l’embarras certains soignants accompagnant des patients en fin de vie…

Lire plus »
Actualités

Avocat : une collaboration libérale qui tourne court…

Un cabinet d’avocats conclu un contrat de collaboration libérale avec une avocate prévoyant une période d’essai de 3 mois. Alors qu’elle est en arrêt maladie, le cabinet lui notifie la rupture de cette période d’essai, ce qui est impossible, selon elle. A-t-elle raison ?

Lire plus »