La question du transfert des données vers les Etats-Unis demeure au cœur de l’actualité depuis l’invalidation d’abord du Safe Harbor en 2015 puis du Privacy Shield en 2020 par la CJUE. Ce 25 mars 2022, un accord de principe a été annoncé entre les Etats-Unis et la Commission européenne afin d’adopter un nouveau texte.

 

Pourquoi l’adoption d’un texte est importante ?

Sur le fondement des articles 45 et 46 du RGPD, un transfert de données à caractère personnel en dehors de l’Union européenne doit reposer sur une décision d’adéquation et à défaut sur des garanties appropriées. Parmi les garanties appropriées, l’article 46 du RGPD mentionne « un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ». En pratique, il peut s’agir d’une convention internationale dont l’intérêt est d’offrir une protection adéquate aux données personnelles et de faciliter les échanges de données en dehors de l’Union européenne.

Jusqu’à la décision de 2015 de la CJUE, les transferts de données personnelles entre l’Union européenne et les Etats-Unis reposait sur le Safe Harbor puis jusqu’en 2020 sur le Privacy Shield. Ces deux textes ont été invalidés par la CJUE en raison notamment de la surveillance potentielle des données par les autorités américaines sur le fondement de l’article 702 du Foreign Intelligence Surveillance Act (FISA).

Depuis l’invalidation du Privacy Shield, les transferts de données vers les Etats-Unis reposent sur

  • des clauses contractuelles types et,
  • des mesures complémentaires.

Par ailleurs, l’EDPD a adopté des recommandations et la CNIL a publié une méthode purement indicative permettant d’épauler les responsables de traitement.

Le début d’année 2022 est marqué par la remise en cause de l’outil Google Analytics tant par l’EDPS (European Data Protection Supervisor) que par la CNIL en raison de l’absence de garantie d’un niveau de protection adéquat. Les mesures contractuelles, techniques et organisationnelles ainsi que les mesures complémentaires misent en œuvre n’étaient pas suffisantes, notamment pour remédier à l’accès aux données par les services de renseignement. Voir notre article publié sur le sujet, ici.

Qu’attendre du nouveau texte ?

Le but annoncé de l’accord est de :

  • faciliter les échanges de données personnelles vers les Etats-Unis et alléger les mesures mises en œuvre par les responsables de traitement ;
  • assurer que les activités de surveillance des services de renseignement soient nécessaires et proportionnées ;
  • mettre en place un mécanisme de recours indépendant doté d’un pouvoir contraignant.

Pour autant, un scepticisme latent plane. « Jamais deux sans trois… » ? Le nouveau texte pourrait se voir une nouvelle fois invalidé par la CJUE si les garanties ne sont pas suffisantes pour assurer la protection des données personnelles des ressortissants européens face au possible accès des services de renseignement américain.

En attendant, que faire ?

Nous recommandons d’adopter les réflexes suivants :

  • cartographier vos transferts de données, qualifier vos données pour évaluer le risque,
  • identifier vos prestataires et sous-traitants ;
  • auditer vos contrats ;
  • vérifier le fondement et l’instrument du transfert ;
  • évaluer les obstacles dans le droit interne du pays tiers et analyser les risques et actions de défense possibles,
  • analyser vos risques de manière concrète : risque du transfert vis à vis du RGPD et risque du transfert vis à vis des loi internes 
  • mettre en place des mesures complémentaires adaptées tant ceux nécessaires vis à vis du RGPD que celles nécessaires pour répondre aux risques des lois internes contraignantes;
  • réévaluer le niveau de protection à intervalle régulier.

Claudia Weber, avocat fondateur et Diane de Langeron, élève avocat | ITLAW Avocats  

Et vous ? Où en êtes-vous ?

Besoin d’aide pour y voir plus clair dans vos transferts de vos données, vérifier si vous êtes conforme, évaluer vos risques et trouver les solutions pour la gestion de vos risques ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles,  de projets informatiques complexesde contrats, d’innovation et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.

Nous contacter