Alors que le RGPD déploie ses effets sur le territoire de l'UE, que se passe-t-il lorsque des données personnelles sont transférées aux Etats-Unis ? C'est le Data Privacy Framework (DPF) qui répond, en partie, à cette question, depuis le 10 juillet 2023.
La Commission Européenne estime que les États-Unis offrent partiellement une protection des données personnelles comparable à celle de l'Union Européenne. Le transfert de données personnelles de l'UE vers certaines entités américaines - celles qui respectent le DPF - est autorisé sans restrictions particulières.
Pour comprendre la portée de cet accord, nous allons découvrir :
- l'ensemble des principes essentiels du Data Privacy Framework pour la gestion et la protection des données personnelles ;
- les conséquences de cet accord sur les échanges de données personnelles de l'UE vers les Etats-Unis.
Le fondement juridique du Data Privacy Framework (DPF) : la décision d'adéquation
Privacy Shield et Data Privacy Framework : la genèse
L'autorisation de transfert des données entre l'Union Européenne et les Etats-Unis a été pour ainsi dire compliquée.
Le 16 juillet 2020, la Cour de justice dans son arrêt Schrems II a invalidé la précédente décision d’adéquation de la Commission Européenne à l’égard des États-Unis (appelée "Privacy Shield").
En effet, elle considérait que le système de protection des données personnelles était insuffisant au regard du niveau de protection assuré en UE.
Les principaux points soulevés :
- La surveillance en masse par les services de renseignement américains sans que les personnes concernées en Union Européenne ne disposent de contrôle sur ces accès ;
- l’insuffisance des voies de recours, y compris juridictionnelles, dont disposent les personnes à l’égard du traitement de leurs données.
Suite à cela, les Etats-Unis ont proposé un nouveau cadre qui a été évalué par la Commission Européenne et le Comité Européen de la Protection des Données (organe regroupant les autorités de protection des données au niveau européen). Ces derniers reconnaissent les améliorations apportées par le gouvernement américain, tout en émettant des réserves sur plusieurs aspects du nouveau cadre.
Data Privacy Framework : entrée en vigueur depuis le 10 juillet 2023
Le Data Privacy Framework repose sur l'article 45 du RGPD qui encadre la démarche des décisions d'adéquation d'un pays tiers en cas de transferts hors UE.
Il s'agit d'un acte juridique pris par la Commission européenne qui atteste qu'un pays tiers (c'est-à-dire un pays non soumis au RGPD) - ou une organisation internationale - dispose d'un niveau de protection des données personnelles jugé suffisant au regard des standards de l'UE.
Plusieurs critères sont retenus pour juger si le niveau de protection d'un pays tiers est adéquat comme la législation nationale du pays concerné, l'existence d'une ou plusieurs autorités de surveillance indépendantes dédiées à la protection des données, ainsi que les engagements internationaux souscrits par le pays en question.
Il s'agit donc d'une analyse au cas par cas pouvant prendre plusieurs années.
La portée du Data Privacy Framework
Certification des organismes respectueux du Data Privacy Framework
Une auto-certification est mise en place. Concrètement les entreprises peuvent s'inscrire sur la liste des organismes certifiés auprès du département du commerce américain, ce qui les engage à adhérer à ce cadre légal, à en respecter les obligations et donc, proposer des garanties élevées en matière de gestion des données personnelles.
Quid si une entité américaine n'est pas certifiée ? On retombe alors dans le régime classique : elle devra, si elle souhaite travailler avec des entreprises soumises au RGPD, fournir des garanties supplémentaires décrits dans l'article 46 du RGPD afin de respecter non seulement les droits opposables des personnes concernées, mais également l'exigence des voies de recours effectives.
Accountability des organismes certifiés
En vertu du principe de responsabilité, les entités certifiées qui traitent des données sont tenues de mettre en place toutes les mesures techniques et organisationnelles appropriées pour se conformer aux prescriptions de la DPF et devront être en mesure de démontrer leur conformité en cas de contrôle par les autorités américaines.
Cela peut se faire par un audit réalisé par un tiers indépendant. Le rapport d'audit devra être présenté aux autorités américaines en cas de contrôle.
Si l'entité n'est pas en capacité de démontrer sa conformité, elle sera exclue de la liste du DPF et pourra être soumise à une sanction financière.
Principes du Data Privacy Framework
Information et transparence
Comme dans le RGPD, les personnes concernées doivent être informées des principales caractéristiques du traitement de leurs données personnelles : le type de données collectées et son traitement, la finalité, le type ou l'identité des tiers auxquels les données personnelles peuvent être communiquées, etc.
En outre, les organisations doivent rendre publiques leurs politiques de confidentialité et fournir des liens vers le site web du Département du Commerce américain qui entretient la liste des entités certifiées.
Exercice des droits des personnes
Les personnes doivent disposer de certains droits qu’elles peuvent exercer auprès du responsable du traitement ou du sous-traitant en particulier le droit d'accès aux données, le droit de s'opposer au traitement et le droit de faire rectifier et effacer les données.
Il est également possible pour les individus d’obtenir d'une organisation dans un délai raisonnable :
- la confirmation qu'elle traite ou non des données personnelles les concernant ;
- la communication de ces données ;
- l'obtention d'informations sur la finalité du traitement, les catégories de données personnelles et la nature de ces données.
Minimisation
Les données personnelles collectés doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées.
Cela inclut aussi le fait qu’elles doivent être conservées pendant une durée n'excédant pas un laps de temps nécessaire à la réalisation des finalités pour lesquelles les données personnelles sont traitées.
Sécurité des données
Les entités s'obligent à prendre toutes les mesures organisationnelles et techniques afin de garantir la confidentialité, l'intégrité et la disponibilité mais aussi les traitements non autorisé des données personnelles.
Ces mesures sont évaluées en tenant compte de l'état de la technique, les coûts, la nature, la portée, le contexte et les finalités du traitement, ainsi que les risques pour les droits des personnes.
Restriction sur les transferts ultérieurs
Le niveau de protection accordé aux données personnelles transférées de l'Union à des organisations situées aux États-Unis ne doit pas être compromis par leur transfert ultérieur à des organisations situées aux États-Unis.
Le transfert ultérieur ne peut avoir lieu que pour des finalités limitées et déterminées, sur la base d'un contrat entre l'organisation certifiée et le tiers, à la condition que ce dernier fournisse le même niveau de protection que celui qui transfère les données personnelles et qu'il en informe (voir demandent l'accord préalable) le responsable de traitement situé en Union Européenne.
Mise en conformité au Data Privacy Framework (dpf) : nos meilleurs conseils
DPA et certification : vous êtes une entreprise située aux Etats-Unis ?
Rendez-vous sur le site Data Privacy Framework pour déposer votre auto certification. Néanmoins, afin d'être au plus proche des standards européens, nous vous conseillons de suivre les étapes suivantes en amont :
- cartographie des données personnelles qui viennent des pays de l'UE ;
- élaboration d'un registre de traitements des données personnelles (finalité, base légale, durée de conservation) ;
- rédaction des informations adéquates pour que les personnes soient informées sur le devenir de leurs données et publication d'une politique de confidentialité sur votre site internet ;
- mise en place d'un processus interne pour que l'exercice des droits s'effectue rapidement, dans un délai raisonnable ;
- vous doter d'un logiciel RGPD européen comme Leto qui pourra vous aider dans toutes vos tâches de conformité au quotidien.
DPA et entreprises européennes : comment travailler avec une entité située aux Etats-Unis ?
Depuis que la Commission européenne reconnaît que les États-Unis offrent un niveau de protection des données personnelles comparable à celui de l'Union européenne, vous pouvez par conséquent travailler avec des organisations américaines certifiées qui se sont engagées, annuellement et publiquement, à adhérer à ce cadre légal.
Avant d'initier un transfert, il est impératif de vérifier si l'organisation destinataire est inscrite sur la liste disponible sur le site du Département du Commerce américain.
On y retrouve par exemple : Amazon, Google, Microsoft, Stripe, Hubspot...
Transferts de données hors UE et absence de Data Privacy Framework
Si l'entreprise ne figure pas sur le site du département du commerce, les transferts de données vers cette dernière se complexifient.
Lorsque les entités américaines ne sont pas certifiées par le Data Privacy Framework et qu'elles ne peuvent bénéficier du régime de la décision d'adéquation, comment cela passe-t-il ?
Il existe heureusement d'autres mécanismes permettant des échanges de données nécessitant des actions complémentaires :
- La signature des clauses contractuelles types (CCT) ou Standard Contractual Clauses(SCC) ;
- Pour les transferts intragroupe, la mise en place de règles internes d’entreprises (REC) ou Binding Corporate Rules (BCR) ;
- L'adhésion à des code de conduite spécifiques;
- L'obtention d'une certification spécifique sur un produit, un service, un processus.
Il y a d'autres mesures de protection à adopter surtout si l’entreprise destinataire du transfert de données a le statut de sous-traitant au sein de l’opération.
Conclusion
En adhérant au Data Privacy Framework, les entreprises américaines souhaitant se développer sur le territoire de l'UE peuvent enfin sécuriser leurs activités, à condition de respecter les principes de la décision d'adéquation.
La protection de la vie privée est une question primordiale pour les entreprises puisque les citoyens sont de plus en plus sensibles au devenir de leurs données : 9 Français sur 10 (soit 92 %) sont préoccupés par le sujet.
Au-delà de l'aspect réglementaire, il y a de réels enjeux commerciaux et réputationnels pour les sociétés soumises au DPF qui doivent donc jouer à armes égales en matière de conformité avec les sociétés européennes.
Vous voulez faire le point sur vos sous-traitants étrangers ? Rendez-vous sur nos contenus complets sur le sujet.