Transferts de données aux USA : nouvel épisode d’une histoire mouvementée

L’Union européenne (UE) s’est dotée en 2016 d’un cadre juridique exigeant pour la protection des droits de ses ressortissants : le Règlement général sur la protection des données (RGPD). Une fois ce cadre établi, il est important pour l’UE de s’assurer que les droits des Européens sont respectés, même en dehors des frontières de l’Europe…

Transferts de données : les USA à nouveau en adéquation

La limitation des transferts de données personnelles dans des pays tiers à l’Union européenne (UE) n’est pas née avec le Règlement général sur la protection des données (RGPD). Depuis 1998, il est interdit de transférer des données personnelles aux entreprises de pays tiers s’il n’est pas établi que ce pays propose un niveau de protection au moins équivalent à celui proposé dans l’UE.

Le Safe Harbor, une politique de gestion des données mise en place par les États-Unis, avait permis la reconnaissance d’un niveau de sécurité suffisant pour que le transfert des données personnelles des Européens puisse être envisagé vers des structures étasuniennes.

Cependant, en 2015, la Cour de Justice de l’Union européenne (CJUE) se prononce contre le Safe Harbor et invalide l’accord en place.

De nouvelles négociations entre l’UE et les États-Unis aboutissent, en 2016, à un nouvel accord : le Privacy Shield.

Cependant, ce nouvel accord ne connaîtra pas une grande longévité puisqu’il est invalidé par la CJUE dès 2020.

Depuis, les entreprises opérant des transferts vers des entités étasuniennes doivent s’assurer individuellement de la bonne protection des données personnelles.

Les Binding corporate rules (BCR) ou « règles d’entreprises contraignantes » peuvent ainsi être utilisées par un groupement d’entreprises engagées dans une activité économique commune, une fois approuvées par le Comité européen de la protection des données (CEPD). Ces règles permettent aux entreprises du groupe de transférer des données entre elles avec l’assurance, pour les personnes concernées, qu’une sécurité équivalente aux règles du RGPD est respectée.

Autre méthode : il est possible de recourir aux clauses contractuelles types (CCT), un corpus de clauses qui, inséré dans les contrats, permet de garantir conventionnellement une sécurité suffisante.

Néanmoins, le 10 juillet 2023, la Commission européenne a adopté une décision reconnaissant comme adéquat la nouvelle politique des États-Unis en matière de protection des données personnelles, et a ainsi ouvert la porte à des transferts simplifiés outre-Atlantique.

Le ministère américain du commerce devra prochainement publier une liste recensant l’ensemble des entreprises étasuniennes offrant des garanties suffisantes aux termes de cette nouvelle politique.

La Commission nationale de l’informatique et des libertés (CNIL) publie une foire aux questions (FAQ) permettant de comprendre en détail les changements apportés par cette décision.

S’il ne sera plus obligatoire d’avoir recours aux BCR et CCT, leur utilisation reste néanmoins possible. D’autant que ce nouvel accord entre l’UE et les États-Unis n’est pas unanimement bien accueilli par les spécialistes.

Le collectif à l’origine de la chute du Privacy Shield a d’ores et déjà annoncé qu’il était prêt à s’opposer à ce dispositif devant la CJUE dès son entrée en vigueur. Affaire à suivre…

Transferts de données aux USA : nouvel épisode d’une histoire mouvementée – © Copyright WebLex

Partager cet article
Inscrivez vous à la newsletter
Restez informé à chaque instant
Découvrez nos derniers articles
Actualités

Indemnités de départ à la retraite : une imposition étalée ?

En 2019, le dispositif optionnel d’étalement de l’impôt sur le revenu dû sur la fraction imposable des indemnités de départ à la retraite a été supprimé. Une suppression problématique, selon un député, notamment au regard du contexte inflationniste actuel. Qu’en pense le Gouvernement ?

Lire plus »
Actualités

Indication géographique : attention aux mots !

Une association demande l’homologation d’une indication géographique « Pierres Marbrières de Rhône-Alpes » pour protéger des pierres du Rhône-Alpes. « Impossible ! », selon une autre association, puisque cette appellation ne correspond pas à une dénomination préexistante. A-t-elle raison ?

Lire plus »
Actualités

Compte AT/MP : l’heure est venue de s’inscrire !

Les employeurs ont l’obligation de s’inscrire au compte AT/MP avant une certaine date, afin de consulter leur taux de cotisation couvrant les risques accidents du travail et maladies professionnelles (AT/MP), leur bilan individuel des risques professionnels, etc. À quelle date est fixée cette échéance pour 2023 ? Réponse.

Lire plus »
Actualités

Salarié du particulier employeur : que faire en cas d’arrêt de travail ?

Comme tous les employeurs, les particuliers employeurs doivent honorer leurs obligations concernant les arrêts de travail des salariés. Ce qui, en pratique, n’est pas toujours le cas et complique parfois la réception par ces salariés, en arrêt de travail, de leurs indemnités journalières de sécurité sociale. Comment faire alors pour faciliter ce versement ?

Lire plus »
Actualités

Transfert de déficits : un changement significatif de l’activité ?

Une société de fonderie connait des difficultés financières qui la conduisent à transmettre la totalité de son patrimoine à son unique associée, à savoir une autre société. Une situation qui autorise, selon elle, le transfert à la société absorbante des déficits reportables non encore déduits par la société absorbée. Ce que lui refuse l’administration fiscale… À tort ou à raison ?

Lire plus »