SOMMAIRE
- Introduction
- L’encadrement des transferts de données vers un pays tiers : Focus sur les États-Unis
- Le PCLOB mis hors-jeu par l’administration Trump
- Comment nous assurons la conformité de vos transferts
Introduction
Peur du vide ? Le retour de Donald Trump à la tête des États-Unis semble précipiter la chute de la décision d’adéquation encadrant le transfert de données à caractère personnel de l’Union Européenne sur le sol américain.
Le Data Privacy Framework, couramment appelé « DPF » est le texte permettant aujourd’hui à des milliers d’entreprises américaines de traiter légalement les données personnelles d’européens. Vivement critiqué par le juriste Max Schrems dès son adoption, il semblerait que les récentes décisions du président américain aient terminé de faire imploser le cadre, déjà fragile, régissant le transfert de nos données à caractère personnel vers les États-Unis.
Dans cet article, nous vous expliquons comment nous vous accompagnons dans la sécurisation de vos flux de données outre-Atlantique, tout en respectant les normes du RGPD.
L’encadrement des transferts de données vers un pays tiers : Focus sur les États-Unis
Le Règlement Général de Protection des Données (RGPD) encadre les transferts des données à caractère personnel en dehors de l’Union Européenne dans son Chapitre V – Transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales. Les responsables de traitement ainsi que les sous-traitants peuvent transférer des données en dehors de l’UE et de l’Espace économique européen à condition de s’assurer qu’un niveau de protection suffisant et approprié est en place. Pour cela, différents outils juridiques sont mis à leur disposition :
Les États-Unis ne disposent pas de législation sur la protection des données équivalente au RGPD. Trois décisions d’adéquation se sont succédées. Le Safe Harbor (2000) invalidé par la CJUE en 2015, le Privacy Shield (2016) invalidé en 2020 par l’arrêt Schrems II rendu par la CJUE puis le Data Privacy Framework adopté par la Commission européenne en juillet 2023, toujours d’actualité.
Ce troisième volet inclut des mécanismes de recours pour les citoyens européens auprès des autorités américaines. La cour de contrôle de la protection des données personnelles (Privacy and Civil Liberties Oversight Board, PCLOB) est en charge de superviser le fonctionnement de ce mécanisme de recours et d’évaluer chaque année si les activités de surveillance menées en vertu de dispositions légales (section 702 de la FISA) sont nécessaires, proportionnées et compatibles avec la protection de la vie privée.
Le PCLOB mis hors-jeu par l’administration Trump
Le 27 janvier dernier, trois membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB) sont licenciés par le Président des Etats Unis. Quelques jours plus tard, un autre membre quitte ses fonctions pour des raisons floues. Il ne reste alors à ce jour, plus qu’un membre dans le comité, la républicaine Beth Williams. La cour de contrôle n’est plus opérationnelle car elle n’atteint plus le nombre minimum de membres requis (appelé quorum).
La mise en berne de cet organe de surveillance via un remerciement expéditif de la majorité de ses membres suscite des questions essentielles quant au respect des garanties de surveillance prises par les États-Unis. En effet, le PCLOB, mentionné 31 fois dans la décision européenne validant le Data Privacy Framework, est un élément central du dispositif.
C’est sans compter la dissolution du Conseil d’examen de la cybersécurité (Cyber Safety Review Board – CSRB) qui a suivi dans la foulée, dont la mission était d’examiner d’importants cyber-incidents et de formuler des recommandations visant à améliorer la sécurité dans les secteurs public et privé.
L’Union Européenne, qui misait sur le PCLOB pour assurer la protection des citoyens européens face à la surveillance américaine reste silencieuse. Suite à ces bouleversements majeurs des engagements de sécurité pris par les USA, il y’a fort à parier que le DPF connaisse le même destin que ses prédécesseurs. C’est pour cette raison que nos équipes ont d’ores et déjà réagi et préparé la transition pour leurs clients.
Comment nous assurons la conformité de vos transferts
La décision de la Commission européenne entraînera des répercussions importantes. Doit-elle mettre fin à cet accord, au risque de plonger les entreprises dans un vide juridique déjà vécu après l’annulation du Privacy Shield ? Ou bien attendre et espérer une réaction de la Maison Blanche ? Quoi qu’il en soit, nos experts ont déjà analysé les mécanismes envisageables. En l’absence de décision d’adéquation, d’autres outils juridiques permettent d’encadrer vos transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales.
Dans un premier temps, une évaluation de l’impact du transfert (TIA) sera réalisée par nos experts. Cette analyse doit être effectuée par l’exportateur soumis au RGPD (responsable de traitement ou sous-traitant) avec l’aide de l’importateur, avant que le transfert ait effectivement lieu. Notre objectif sera d’évaluer si l’importateur est en mesure de se conformer à ses obligations, en tenant compte de la législation et des pratiques du pays de destination. La TIA permet également d’évaluer si des mesures supplémentaires permettraient de remédier aux lacunes constatées en matière de protection des données et de garantir le niveau requis par la législation de l’UE.
Par la suite, l’utilisation de clauses contractuelles types (CCT) est envisageable. Il s’agit de modèles de contrats adoptés par la Commission européenne ou par les autorités nationales de protection des données. Ces clauses standard garantissent que les données seront protégées de manière appropriée lors du transfert vers un pays tiers. Par ce biais, le responsable du traitement et le destinataire des données dans le pays tiers s’engagent à respecter un certain nombre de garanties concernant la protection des données personnelles. Sachez que les clauses contractuelles types sont un mécanisme fréquemment utilisé, parmi d’autres, pour transférer des données vers des pays sans décision d’adéquation.
Quel que soit votre besoin (audit et mise en conformité RGPD, externalisation de la fonction DPO), nos experts sont disponibles pour vous accompagner et encadrer au mieux vos transferts.
