Transferts de données aux USA : nouvel épisode d’une histoire mouvementée
Transferts de données : les USA à nouveau en adéquation
La limitation des transferts de données personnelles dans des pays tiers à l’Union européenne (UE) n’est pas née avec le Règlement général sur la protection des données (RGPD). Depuis 1998, il est interdit de transférer des données personnelles aux entreprises de pays tiers s’il n’est pas établi que ce pays propose un niveau de protection au moins équivalent à celui proposé dans l’UE.
Le Safe Harbor, une politique de gestion des données mise en place par les États-Unis, avait permis la reconnaissance d’un niveau de sécurité suffisant pour que le transfert des données personnelles des Européens puisse être envisagé vers des structures étasuniennes.
Cependant, en 2015, la Cour de Justice de l’Union européenne (CJUE) se prononce contre le Safe Harbor et invalide l’accord en place.
De nouvelles négociations entre l’UE et les États-Unis aboutissent, en 2016, à un nouvel accord : le Privacy Shield.
Cependant, ce nouvel accord ne connaîtra pas une grande longévité puisqu’il est invalidé par la CJUE dès 2020.
Depuis, les entreprises opérant des transferts vers des entités étasuniennes doivent s’assurer individuellement de la bonne protection des données personnelles.
Les Binding corporate rules (BCR) ou « règles d’entreprises contraignantes » peuvent ainsi être utilisées par un groupement d’entreprises engagées dans une activité économique commune, une fois approuvées par le Comité européen de la protection des données (CEPD). Ces règles permettent aux entreprises du groupe de transférer des données entre elles avec l’assurance, pour les personnes concernées, qu’une sécurité équivalente aux règles du RGPD est respectée.
Autre méthode : il est possible de recourir aux clauses contractuelles types (CCT), un corpus de clauses qui, inséré dans les contrats, permet de garantir conventionnellement une sécurité suffisante.
Néanmoins, le 10 juillet 2023, la Commission européenne a adopté une décision reconnaissant comme adéquat la nouvelle politique des États-Unis en matière de protection des données personnelles, et a ainsi ouvert la porte à des transferts simplifiés outre-Atlantique.
Le ministère américain du commerce devra prochainement publier une liste recensant l’ensemble des entreprises étasuniennes offrant des garanties suffisantes aux termes de cette nouvelle politique.
La Commission nationale de l’informatique et des libertés (CNIL) publie une foire aux questions (FAQ) permettant de comprendre en détail les changements apportés par cette décision.
S’il ne sera plus obligatoire d’avoir recours aux BCR et CCT, leur utilisation reste néanmoins possible. D’autant que ce nouvel accord entre l’UE et les États-Unis n’est pas unanimement bien accueilli par les spécialistes.
Le collectif à l’origine de la chute du Privacy Shield a d’ores et déjà annoncé qu’il était prêt à s’opposer à ce dispositif devant la CJUE dès son entrée en vigueur. Affaire à suivre…
